NAT回流,内网主机无法通过外网IP访问内网服务器问题

最新推荐文章于 2025-10-10 17:14:33 发布
原创 最新推荐文章于 2025-10-10 17:14:33 发布 · 2.7k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #服务器 #网络协议

记录某客户内网主机无法通过外网地址访问内网服务器问题的解决方法

一、问题起因
某天客户内网任意主机不能使用自已的公网IP访问自己,其它设备均可正常访问。是不是NAT回流问题?
[图片]

二、原因分析

  • 经过分析,原因就是做好端口映射以后,内部服务器通过外网IP访问内部server的时候流量没有回流到防火墙导致的。

  • NAT回流是什么?NAT回流是指服务器提供NAT映射,即满足公网用户通过公网地址访问;也满足内网用户通过公网地址访问,内网用户访问的数据能正常返回就是数据回流功能。出现Nat回流这是正常现象,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的。

三、解决办法
1、全局NAT地址转换。这一步主要是为了让内网用户可以正常访问外网用的。

nat-policy interzone trust untrust outbound #注意NAT策略方向
policy 0
action source-nat #是做源地址转换
policy source 10.11.10.0 mask 255.255.255.0 #匹配内网所有主机ip
easy-ip Gi
最低0.47元/天 解锁文章
华为AR3260路由器配置NAT地址回流
WINDOWS SERVER 2003使用组策略禁用U盘
06-01 7767
4:先用G0/0/0建立一个NAT,建完这个在公司外面,或者在公司内部使用流量就可以公网地址,打开公司内部的服务器了。接口选择外网的接口,外部IP当前接口IP地址默认是外网的地址,外部端口号,内部IP,内部端口号根据实际情况填写。8:配置完就实现了地址回流的功能,在公司内部可以使用公网地址加端口号的方式访问公司内部的服务器了。5:在新建一个NAT,这个时候接口名称选择内部接口G0/0/1,外部IP填写外网的地址,外部端口号,内部IP,内部端口号,更具实际情况填写。3:我一般是使用一对一地址转,点击新建。
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 2182
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
NAT回流 - 内网使用公网ip访问内网服务器无效
m15151850711的博客
12-18 9948
场景:在!家里!(默认电信猫,企业部署的网关经配置可解决)内网搭建了一台服务器,地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内网有台设备想通过访问1.1.1.X,但是发现无法访问。 原因:1、表面上看,家庭环境下,nat转换发生在网关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说成区域上。 2、对于网关设备,分为进域和出域,域又包括网关上的各类网络接口组。一般网关如电信猫,nat的触发(包括nat条目)设置在出
内网通过公网地址访问内网服务器不通如何解决
ducanwang的博客
10-10 1206
场景说明:内网用户pc1,client,ftp服务器都在trust区域。ftp服务器是在防火墙上做了映射,并且做了策略路由指定pc1和client做ips1,ftp服务器ips2。把服务器的服务映射到了防火墙上接口地址200.x.x.1的21端口。目前外网可以访问内网无法访问
NAT回流(双向NAT
最新发布
SSR_ZZ的博客
10-10 1009
配置该命令后,同一安全区域内的流量如果没有命中管理员配置的同域安全策略,将命中缺省安全策略,缺省安全策略的配置将同时对同一安全区域内的流量生效,包括:缺省安全策略的动作、日志记录功能等。NAT回流配置时,如果Client1和Server不在同一安全区域,需要配置安全策略(Client1在Trust,Server在DMZ安全区域)。NAT回流配置时,安全策略中,如果对源和目的地址进行限制,源和目的地址是填写NAT转换前还是转换后的地址?查看会话表,可以看到,源和目的IP地址都进行了转换,流量都会经过防火墙。
NAT回流,解决内网主机无法访问内网服务器问题
热门推荐
yao12_的博客
08-29 1万+
解决内网主机无法通过公网地址或域名访问内网主机问题
华为NAT回流配置
zhm120456的博客
07-08 1842
简单来说只要是内网设备访问公网映射的内网设备存在访问异常,都需要配置NAT回流,下面以华为USG防火墙为例子讲解一下NAT回流的配置。配置NAT策略,源地址是需要进行访问的网段,目的地址为映射的服务器的私网地址,转为地址池中的地址(这个地址只要不是私网地址在用即可,例如2.2.2.2和11.11.11.11等等),同理优先级需要高于默认的NAT策略(即trust到untrust转换为出接口地址),不理解就放到最高。动作是不做策略路由且优先级高于正常路由选路,不理解可以放到最高。安全区域一定得是any。
NAT回流
qq_46127271的博客
05-11 4625
NAT回流
究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4606
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
nat端口回流
qq_44718856的博客
03-15 7687
内网用户通过NAT地址访问内网服务器 1. 组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过...
nat回流的思考
weixin_34014277的博客
01-28 4325
nat回流的思考: 目前大多数企业网都存在nat回流现象,但是现在防火墙都能自动识别nat回流(所谓自动识别就是防火墙有dnat表),所以来回方向都经过防火墙的数据nat回流是不会造成影响的。或者也能通过dns服务器解决,内网访问时直接将域名映射到内网地址。 但是当企业网比较大,防火墙下部有核心时,就会经常出现服务器返回数据不经过防火墙(服务器客户端在同一...
如何通过华为AR路由器配置端口回流和端口映射,使内网服务器能够被外网用户访问
11-25
这样配置之后,内网服务器就可以通过指定的外网IP和端口被外网用户访问。为了更深入理解这一过程和相关网络知识,建议参考《华为AR路由器Web配置端口回流与映射图文教程》,该教程详细介绍了华为AR系列路由器的Web...
网络配置内网主机如何访问内网服务器
07-05
同时,为了确保内网主机也能通过公网地址访问服务器,还需要启用 **NAT回流(Hairpin NAT)** 功能,使数据包能够在同一个接口进出。 #### 2. 使用 P2Link 内网穿透服务 P2Link 是一种基于云的内网穿透服务,适用于...
路由交换网络专题 | 第九章 | NAT地址转换 | NAT回流
ZJC744575的博客
04-27 476
【代码】路由交换网络专题 | 第九章 | NAT地址转换 | NAT回流
内网是如何访问到互联网(H3C源NAT
网络之路Blog(其他平台同名)
08-02 750
通过display nat session verbose可以查看详细的会话信息,华三的NAT会话表比华为的相对要详细些,这里有一个比较有趣的事,ICMP它是IP层的一个协议,并没有端口号的,但是在网络设备里面,经过NAPT后,设备会给它加上一个端口号,这样的好处是在内网有多个终端去ping同一个地址的时候,返回能够正常的还原。在核心上面 telnet 互联网设备的地址,现在是登录失败,这个没事,主要看看NAT的会话信息。测试是通的,PC1目前是192.168.10.1。开启抓包​​​​​​​。
NAT后网络回流造成内网无法通过公网IP访问应用服务器
weixin_33739646的博客
09-26 3392
统而言之,通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境,因为这样会使报文来回的路径会不一致或其它原因,导致访问中断。 一、思科设备示例 1.1Router示例 Router(config)#interfacee0/0...
内网的用户不能用外网IP访问内网
weixin_34361881的博客
11-05 1596
一般普通路由器只要做完端口映射,NAT是不需要设置的,稍微高级点的路由器,就需要配置一下了。然后就可以访问了。   下面是网站找的说明:(下面的说明都2007年左右,原理没问题,不过现在所有的路由器都应该支持“回流”了) 简单说明一下:假设你的外网IP为 202.1.1.1 内网有2台192.168.1.10  192.168.1.11 做了IP地址映射  202.1.1.1:80-...
不能用公网地址访问内网服务器的详解
eseries
07-14 820
                                                 -->究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
H3C出口设备nat server端口映射解决NAT回流问题
wk1011的博客
08-29 4166
2、出口设备的G0/0接口配置了nat server(映射到内网服务器),数据包就会修改数据包的目的地址和目的端口号,并不对源地址进行改变。3、数据包从出口设备发送到10.0.0.2(内网服务器),因为发过来数据包的源地址为10.0.0.10(内网主机)。4、服务器对出口设备的数据包回复,源目地址对调,导致数据包直接通过交换机发送到内网主机。5、内网主机解封装服务器回复的数据包,因为(源目)地址不匹配,则进行丢弃,导致访问失败。1、在内网口配置与公网口相同的nat server条目;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

guganly

喜欢就请我喝杯咖啡吧!☕️

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值