全面分析:内部无法使用映射的公网来访问内部服务器的原因

最新推荐文章于 2025-03-28 11:07:47 发布
最新推荐文章于 2025-03-28 11:07:47 发布
阅读量1.6w 收藏 20
点赞数 1
分类专栏: 路由/交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chiyuwei1766/article/details/48402595
版权
本文分析了内部用户无法使用映射的公网IP访问内部服务器的问题,指出路由器只对来自outside的数据流触发NAT映射机制。通过实验展示了配置内外接口为inside和outside时的不同行为。理解这一机制有助于解决此类问题。文中提出了两种DNS方法作为解决方案,但这些方法需在有域名的情况下才有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        往往我们在配置完路由器将内部成功访问到外部互联网以及外部互联网能访问成功所映射的服务器时,就认为已经配置完成。却忽略了仍然存在的一个重大问题:内部用户无法使用映射的公网IP来访问到内部服务器。每个厂家的路由器都会出现这个问题,可能是一种安全机制,或者是为了nat地址转换速度与稳定性吧!这只是猜测而已。

下面将通过实验来分析出现这种问题的原因。


实验拓扑:


实验配置:

       实验各接口配置如上图,重点来看router1(简R1)配置,如下

R1#sh run

interface GigabitEthernet0/0
 ip address 1.1.1.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
ip nat inside source list nat_list1 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.10.10.10 80 1.1.1.1 8080 
ip classless
ip route 0.0.0.0 0.0.0.0 1.1.1.254 
!
ip access-list extended nat_list1
 permit ip 192.168.1.0 0.0.0.255 any
 permit ip 10.10.10.0 0.0.0.255 any

R1#


1)检测拓扑的连接

pc0:



server0:



以上两图说明内部成功访问外部公网。下面再测试服务器web的映射。


最低0.47元/天 解锁文章
对外映射端口内客户端无法通过公网地址访问
fzw5021的博客
09-14 3016
客户端无法通过公网地址或域名访问服务器,对外映射无法访问解决思路
服务器做了映射还是无法公网访问,内PC无法使用服务器NAT映射后的公网地址访问服务器的故障分析...
weixin_36296064的博客
08-02 5645
记得很早之前有帮大学同学处理过一个内PC无法使用服务器NAT映射后的公网地址访问服务器的故障,记得红茶三杯老师有篇博文有做过很详细的分析,现转载过来分享给大家,原文如下:关于“内PC无法使用服务器NAT映射后的公网地址访问服务器的故障”,正好最近有个兄弟问到这个问题,所以稍做解析,这个案例虽然简单,但是具有一定的代表性(本例以华为防火墙做讲解,技术原理类似)。 在上图所示的络中,PC Sta...
服务器无法通过公网地址访问映射公网的内服务
最新发布
liudong124521的博客
03-28 1379
服务器1上运行了一个业务系统,地址是192.168.101.111:80,然后在出口防火墙上做了映射,将其映射到了124.5.5.5:10080,此时,外部络环境中可以正常访问124.5.5.5:10080,但是在内环境中,如服务器2上,无法访问124.5.5.5:10080。也就是说内服务器无法通过映射后的公网地址访问服务。
工排错日记:NAT SERVER的内回环问题(内用户无法访问映射公网服务器
weixin_44799797的博客
03-09 5400
NAT SERVER内回环问题 1、问题说明: 防火墙计划对内中某台服务器(10.1.1.2)做了NAT SERVER(映射为200.1.1.1:80),使得外用户可以通过公网地址访问服务器配置完成以后,发现外用户(200.1.1.254)可以通过200.1.1.1:80访问服务器,内用户(10.1.1.1)无法通过200.1.1.1:80访问服务器络拓扑如下: 2、问题分析: 1> 因外用户(20.1.1.254)可正常访问服务器,初步判定NAT SERVER配置不存在问题。
不能用公网地址访问服务器的详解
eseries
07-14 739
                                                 -->究竟为什么内不能用公网地址访问服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
使用穿透远程连接局域无法访问公网服务器
qq_39068200的博客
06-18 3556
出于安全性考虑,服务器在部署时被设置为无法访问公网。我们处于和服务器相同的局域时,可以ssh连接服务器,但除此之外无法连接。而服务器本身没,向日葵、teamviewer等工具就无法安装在服务器上。本文使用穿透技术(NAT),提供两种思路实现在任何有络的机器上都可以ssh到局域内的服务器
方正SecPath UTM NAT的全面配置指南:实现内外访问服务器映射
定义静态映射,如2.1.1.20到1.1.1.100,为特定内部服务提供固定公网地址,提高访问效率。 9. **内部服务器配置**: 在防火墙内部服务器转换部分,为允许外部访问的特定服务器设置相应的静态转换规则。 10. **...
ngrok工具:内IP快速映射域名指南
总结来说,ngrok是一个功能全面、使用简单的内映射工具,它极大地便利了内服务的外部访问和远程开发工作。通过ngrok,开发者可以方便地获取公网的反馈、进行产品演示或测试,而企业也可以将其用于产品支持或内部...
远程访问服务器使用FRP实现内穿透
m0_66327540的博客
01-18 3053
使用FRP实现内穿透,远程访问服务器 frp 是一个高性能的反向代理应用,可以帮助您轻松地进行内穿透,对外提供服务,支持 tcp, http, https 等协议类型,并且 web 服务支持根据域名进行路由转发。 相比ngrok,frp内穿透无需多复杂的配置就可以达到比较好的穿透效果,具有较强的扩展性,支持 tcp, udp, http, https 协议。 在学习搭建前,首先需要理解什么是代理。 Proxy即代理,被广泛应用于计算机领域,主要分为正向代理与反向代理: 正向代理 正向
启动并公开API服务器使用Ngrok本地测试Twilio Webhooks
这个过程中,可能会遇到公网无法访问本地服务器的问题,这时Ngrok这类工具就派上了用场。 - **版本控制与分支管理**:提及“-master”分支,暗示了对版本控制系统(如Git)的使用,以及对分支管理的基本了解。...
routeros端口映射无法访问自身公网IP问题(环回).doc
01-06
routeros端口映射无法访问自身公网IP问题(环回)的详细教程,有需要的看
用户通过域名或公网IP访问内部服务器的解决办法
04-23
用户通过域名或公网IP访问内部服务器的解决办法
路由器端口映射公网正常访问 而局域无法通过公网IP访问
热门推荐
MADNESS
12-19 2万+
转载:http://blog.youkuaiyun.com/yxwmzouzou/article/details/18089291 问题:在NR289-E 路由器对8010端口进行映射(虚拟服务),映射到我自己的电脑的80端口,设置成功后,但在本机上(即192.168.1.80这台PC机)访问域名和外ip时,都是无法打开,还以为是映射不成功或是被路由器屏蔽了呢! 一直没法解决,只好因vp
究竟为什么内不能用外地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4462
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内不能用公网地址访问服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内dns欺骗、pix上得ali...
案例分析:内部无法使用映射公网访问内部服务器原因
weixin_34097242的博客
07-28 922
案例分析:内部无法使用映射公网访问内部服务器原因防火墙型号:神SecGate3600千兆防火墙1、拓扑图1络拓扑2、络功能描述1)神防火墙工作在混合模式:下级单位和内部络通信通过防火墙,防火墙采用透明模式传输模式;内部访问(Internet)防火墙采用路由模式。2)核心络设备和防火墙之间的通信是通过管理IP进行路由传输。...
NAT回流 - 内使用公网ip访问服务器无效
m15151850711的博客
12-18 9550
场景:在!家里!(默认电信猫,企业部署的关经配置可解决)内搭建了一台服务器,地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内有台设备想通过访问1.1.1.X,但是发现无法访问原因:1、表面上看,家庭环境下,nat转换发生在关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说成区域上。 2、对于关设备,分为进域和出域,域又包括关上的各类络接口组。一般关如电信猫,nat的触发(包括nat条目)设置在出
ROS Dst-Nat 后内不能通过公网IP访问服务器解决方法
weixin_34381666的博客
04-27 3496
通常企业内部会有很多服务器需要互联用户访问,这时就需要做Dst-Nat. 但是我们配置完后会发现内用户不能通过公网IP访问对应的服务器。其实这时我们再添加一条策略即可搞定.实例说明:服务器:172.16.0.101  路由器LAN口: 172.16.254.2公网IP: 106.37.xxx.xxx       外访问IP假设为 1.1.1.1    内访问的PC 假设IP为172.1...
通过公网地址访问服务器不通如何解决
ducanwang的博客
10-10 963
场景说明:内用户pc1,client,ftp服务器都在trust区域。ftp服务器是在防火墙上做了映射,并且做了策略路由指定pc1和client做ips1,ftp服务器走ips2。把服务器的服务映射到了防火墙上接口地址200.x.x.1的21端口。目前外可以访问,内无法访问
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值