收藏
下载资源

内网访问不了自己在防火墙上映射的WEB服务器原因分析

上传人:博****1 文档编号:457436986 上传时间:2023-10-16 格式:DOCX 页数:8 大小:39.78KB
返回 下载 相关 举报
内网访问不了自己在防火墙上映射的WEB服务器原因分析_第1页
第1页 / 共8页
内网访问不了自己在防火墙上映射的WEB服务器原因分析_第2页
第2页 / 共8页
内网访问不了自己在防火墙上映射的WEB服务器原因分析_第3页
第3页 / 共8页
内网访问不了自己在防火墙上映射的WEB服务器原因分析_第4页
第4页 / 共8页
内网访问不了自己在防火墙上映射的WEB服务器原因分析_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《内网访问不了自己在防火墙上映射的WEB服务器原因分析》由会员分享,可在线阅读,更多相关《内网访问不了自己在防火墙上映射的WEB服务器原因分析(8页珍藏版)》请在金锄头文库上搜索。

1、内网访问不了自己在防火墙上映射的 WEB服务器,而外网可以,原因分析 ?回流是什么?最简单的一个实例:网吧内网一台主机192.168.0.2建了个WEB服务站点端口 80,然后在网关(其内网地址是192.168.0.1、公网地址为218.4.218.4)上映射80端口到192.168.0.2的80端口,这样INTERNETt就能以 http:218.4.218.4:80 的地址访问到 192.168.0.2 的 WEB站点了。然后出现了个问题,在同网吧的另一台电脑192.168.0.3 上,键入http:218.4.218.4:80 ,却无法访问该 WEB站点。就这个现象,我们就称之为“不支持

2、回流”了,这里指的是网关上的映射方式不支持回流,所以说“回流”一说,是针对映射方式而言的。现在我们来看常规情况下,是为什么会发生这种情况的我以前对 iptables 特别感兴趣的时候,曾对这个问题非常迷惑不解, 直到去年为了考试, 学习网络基础的时候才搞明白这个事情过程如下:192.168.0.3要请求访问 218.4.218.4 的 80端口, 根据它掌握的路由表,它本身是不知道电脑218.4.218.4 在哪里的,所以把将这个数据包发送给它的默认路由,即电脑192.168.0.1。注意: 这个数据包的源地址是192.168.0.3、 源端口假设是 1025、目标地址是218.4.218.4

3、、目标端口是80、SYN标志位为1、这是 建立TCP连接的第一次握手。如果“把目标地址为 218.4.218.4 的数据包发给了 192.168.0.1”你听起来觉得有点矛盾, 那么我解释一下: 其实这个数据包的目标IP地址是218.4.218.4,目标 MAC地址却是192.168.0.1的电脑 192.168.0.1 接收到了这份数据包(因为它的身份是路由器,所以允许接收和转发目标地址不是自已、 MAC 地址却是自已接口 MAC地址的数据包),它分析这个数据包的目标地址,发现这个数据包是需要中转到电脑192.168.0.2:80 去的,于是它把这个数据包转发给了电脑192.168.0.2:

4、80。注意:这个数据包的源地址是192.168.0.3、源端口是1025、目标地址为192.168.0.2、目标端口为80、SYN标志位为1。我们要注意这个数据包在转发后发生了变化了,即目标地址变了。电脑 192.168.0.2 顺利接到了数据包,它马上作出回应,发送一个数据包给电脑192.168.0.3。注意:这个数据包的源地址是192.168.0.2、源端口是80、目标地址192.168.0.3、目标端口为1025、SYN标志位为1、ACK标志位为1、这是建立TCP连接的第二次握手。电脑192.168.0.3顺利接到了数据包,然而它发现这是一个来自 192.168.0.2:80的回应,因为

5、ACK标志位值为1摆在那里呢。它 想不起来什么时候给192.168.0280这个目标对象发送过SYN请 求,它认为这是一个错误的数据包,于是决定把这个数据包丢弃。 然后继续等待2184218.4:80的回应,一直等到超时。而电脑192.168.0.2这边,它等192.168.0.3:1025的第三次握手请 求包发送过来,以便建立一个TCP的连接。同样也没有结果,一 直等到超时。三次握手在规定的时间内没有完成,访问宣布流产 To那么怎么样才能正常访问呢?也就是说怎么样形成“回流”呢?玄机在于电脑192.16801把第一次握手的那个数据包在转发时, 不仅要修改目标地址和端口,也要修改源地址和端口,

6、我们来看 一下情况会有什么不同:电脑192.168.0.1接收到了这份数据包(因为它的身份是路由器, 所以允许接收和转发目标IP地址不是自己、MAC地址却是自己 接口 MAC地址的数据包),它分析这个数据包的目标地址,发现 这个数据包是需要中转到电脑192.168.0280去的,于是它把这 个数据包通过自己的5201端口转发给了电脑192.168.0.2:80,并 在内存里面记录下来了,192.168.0.1:5201已定位给了192.168.0.3:1025o注意:这个数据包的源地址是192.168.0.1、源端口是5201、目标地址为192.168.0.2、目标端口为80、SYN标志位为1

7、。电脑 192.168.0.2 顺利接到了数据包,它马上作出回应,发送一个数据包给电脑192.168.0.1。注意:这个数据包的源地址是192.168.0.2、源端口是80、目标地址192.168.0.1、目标端口为 5201、SYN标志位为1、ACK标志位为1、这是建立TCP连接的第二次握手。电脑 192.168.0.1 顺利接到了数据包,检查内存记录发现,这个数据包真正的收货人是192.168.0.3:1025,于是它把这个数据包转发给 192.168.0.3。注意:这个数据包的的源地址是218.4.218.4、源端口为80、目标地址为192.168.0.3、目标端口为1025。我们要注意

8、这个数据包在转发后发生变化了, 即源地址变了。 这很重要! 为什么会变,因为在它心目当中, 192.168.0.2:80 早已定位给了 218.4.218.4:80,映射规则使然。电 脑 192.168.0.3 顺 利 接 到 了 数 据包 , 发 现 期 待 已 久 的218.4.218.4:80 终于有了回音,它兴奋不已的发出第三次的握手请求。注意:这个数据包的源地址是192.168.0.3、源端口是1025、目标地址是218.4.218.4、目标端口是80、ACK标志位为1、这是建立TC选接的第三次握手。跟前面的数据包一样,这个数据包会从192.168.0.1 那里中转给192.168.0.2以后 192.168.0.2:80 和 192.168.0.3:1025之间来往通信的数据包,全部由 192.168.0.1 负责中转, “回流”构成了

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号