【接口篇 / DMZ】(5.2) ❀ 03. 多宽带映射服务器到公网 ❀ FortiGate 防火墙

已于 2022-07-26 16:45:48 修改
阅读量3.3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # DMZ 文章标签: 服务器 网络 linux
于 2016-12-06 15:57:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/meigang2012/article/details/53487191

  【简介】很多单位都有多条宽带,通常会把其中一条宽带做VPN和映射服务器,而上网走另外的宽带,这样的好处是进出不受影响,那么问题来了,当其中一条宽带映射了服务器,而用另一条宽带上网的时候,在内网用外网地址访问映射的服务器,却访问不了,你知道原因吗?

  网络拓扑

        Wan1专用用来上网,Wan2用来映射服务器。

  创建虚拟IP

        虚拟IP即VIP,虚拟IP是用来做目的地址转换使用。

        ① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New 建立新的虚拟IP,输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口,这里可以理解为映射到Wan2口,映射的IP地址填写服务器的IP地址,端口转发填写80端口。

  建立访问策略

        所有的虚拟IP,都需要引用到防火墙策略中才能生效。    

        ① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。服务选择输入HTTP,这样就从虚拟IP到策略,都限制只使用Web功能。

  从另一条宽带访问映射服务器

        很多时候,我们映射了服务器到外网,但是在内网的电脑也要用外网地址访问,而上网走的是另一条宽带,这就会出现用外网地址打不开映射服务器的现象。    

        ① 解决这个困恼的方法很简单,那就是再建一条策略,除了允许走Wan1上网之外,也允许走Wan2接口访问指定映射外网IP。

  测试效果

        现在服务器映射完成了,可以查看映射的结果。

        ① 从内网打开映射的外网IP,可以看到成功的打开了,那么问题又来了,这真是走Wan1出去,再到Wan2,再到服务器的吗?

       ② 不,其实他们的数据是这样流动的!

飞塔技术-老梅子   QQ:57389522

思科防火墙ASA Version 9.1(1) 怎么配置静态NAT,把内网ip192.168.1.10 端口1000映射公网端口1000上?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-29 614
思科防火墙5520。
NAT技术之NAT server(名称很懵?服务器映射、端口映射DMZ傻傻分不清楚)
网络之路Blog(其他平台同名)
09-08 2456
技术背景 在很场景中,比如企业、学校、甚至家里都有一些对外访问的业务提供,比如门户网址、NAS、ERP等,在实际部署中,这些提供访问的服务器都属于内网内,配置的是内网地址,导致的情况是公网用户没法对私网地址直接进行访问,学过上内容的源NAT功能是把私网用户的源地址转换成可上网的地址(当然可上网的就分私网跟公网了,由运营商分配的)然后发送出去,那么NAT Server的作用正好相反, 它是当其他公网用户访问我们服务的公网地址时候,进行目的地址转换(注意一定要是公网地址),在华为防火墙里面的这个功能叫
公网映射工具
11-22
修改star.bat文件 然后双击即可 youName是你想要设置的域名,如 wswx Port是你想映射的本地端口,如8080 最后,访问http://wswx.tunnel.echomod.cn/ 即可在外网访问你的本地服务器
接口 / DMZ(5.4) 01. 映射服务器到外网 FortiGate 防火墙
防火墙技术专栏
02-15 1万+
当我们的防火墙可以上网了之后,把服务器映射到外网,允许从外网访问内部服务器,就成了优先考虑的问题了。ADSL拨号宽带与固定IP宽带映射略有不同,这里以ADSL拨号宽带作示例。
如何把本地服务器变成公网服务器?内网ip网址转换到外网连接访问
csghdn的博客
06-06 1475
内网IP只能在本地内部网络连接访问,当本地搭建服务器部署好相关网站或应用后,在局域网内可以通过内网IP访问,但在外网是无法直接访问异地内网IP端口应用的,只有公网IP和域名才能实现互联网上的访问。以上就是如何把本地服务器变成公网服务器的二种简单常用方法步骤,在只有内网ip时,利用网址映射服务,将内网IP绑定域名提供外网访问是种较为不错的选择,普通个人不需要专业知识也能完成实现。使用其他网络,比如手机热点或朋友的网络,通过浏览器访问公网IP地址和配置的端口号,看是否能够成功访问服务器上的服务。
局域网映射公网IP
weixin_33860528的博客
03-29 295
本地安装了一个Django,只能在局域网内访问,怎样从公网也能访问到本地的Django呢?本文将介绍具体的实现步骤。 1. 准备工作1.1 安装Java 1.7及以上版本执行命令java -version检查Java安装和配置是否正确。 1.2 安装并启动Django默认安装的Django端口是8000。 2. 实现步骤2.1 下载并解压holer软件包Holer软件包:holer-clie...
办公室网络公网映射
棠梨染青衣
09-30 745
问题: 在办公室主路由器上,映射8077端口到自己物理机的9090端口,请办公室外的朋友或者同事访问http://microcental.oicp.net: 8077/,应该出现虚拟机内tomcat的服务页面,请对结果进行截图。   解决方法: 1、请管理路由器的人帮忙在路由器上映射端口。告诉他你电脑现在连接的网络的ip地址。具体操作请查看:https://jingyan.baidu.co...
ngrok 公网映射
12-05
ngrok 本地映射外网访问教程全套,免费的,方便微信开发各种App开发
Azure安全网络DMZ区域设计实践.docx
06-30
Azure安全网络 DMZ区域设计实践的知识点: 1. DMZ区域定义和重要性:DMZ(Demilitarized Zone,非军事化区)是企业内部网络与外部网络之间的缓冲区域。DMZ位于内部网络和外部网络之间,用于放置一些必须公开的...
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
11-26
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
基于Linux透明式DMZ防火墙的实现.pdf
09-07
基于Linux透明式DMZ防火墙的实现.pdf
公网映射工具,无需配置,自动映射
07-05
一款非常轻便的公网映射工具,无需任何配置,直接运行,一句命令开启公网映射,远程调试代码异常轻松
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
公网映射——让私人电脑成为一台公网服务器
10-30 4851
一、前言 自己有台电脑一直空着,想着如果能把这台电脑布成一个服务器,做测试用,就能发挥它的余热了。 二、步骤概述 2.1、把电脑的8080端口映射公网,使得外网可以访问到这台电脑的web工程 2.2、把电脑的远程访问开启,但这样只能在内网中远程访问。 2.3、把远程默认端口3389映射公网,这样无论自己在哪办公,都能随时远程连接这台电脑了,方便修改和更新服务器上的工程。 ...
公网映射思路
zouyang920的博客
02-11 2533
1、使用环境 目前政务微信的有两台内网环境71和14服务器,外网不能访问,只能内部访问,但是项目部署在14上面71的nginx转发到14服务器上面,但是现在14的项目需要网络支持,另外需要一台公网环境180服务器2公网环境配置 180的环境使用firewall防火墙将端口映射到71上面,71将请求转发到14上面。 3、整体流程 政务微信地址指向71服务器,71服务器指向14服务器,然后公网180与71互通,71通14,从而达到71和14通网的目的。 ...
将个人PC映射公网
FeiSir_PC的博客
11-06 1万+
将个人PC映射公网上 1.首先了解一下电脑是怎么上网的,一般的电脑都是拨号上网,然后用路由器或者系统上带的拨号上网,拨号成功后会分配给你一个IP地址,通过这个IP地址就能找到唯一的一个设备,就是你的路由器,但是一般访问路由器都是从LAN口访问的,WAN口是不能访问的,端口映射就是将自己的电脑端口映射到运营商给你分配的IP地址上,所以,通过IP地址+端口号就能和你映射的计算机进行通讯了。 2.有的...
映射公网的几种方式
raquelle的记忆宫殿
05-01 2万+
转载自:http://blog.csdn.net/sadshen/article/details/48240519 这文章花了好几天,系统地梳理出了映射公网的几种方式。虽然是针对微信开发的外网服务器来寻找解决方案,但这个知识梳理可能会在其他地方也受益。平常我也有用TeamViewer,在搜集资料的过程中也知道了其大致工作原理。还有一些免费好用的反向代理软件,可能会在后头派上用场。 这
内网透传------局域网IP映射公网
热门推荐
Known668的博客
03-18 3万+
切记:重启!!!! 一下知识总的来说就是2点: 第一点:如何通过路由器公网IP+映射公网端口号---访问局域网服务器 第二点:如何通过花生壳的域名+花生壳的端口号-----访问局域网服务器 名词概念: 1、端口映射 端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。 局域网中IP映射公网2DMZ 网络划分为三个区域:安全级别最高的LAN Area.
搞懂端口映射,从入门到精通!深入了解公网端口映射路由器设置,与内网端口映射软件全攻略
最新发布
csghdn的博客
08-07 503
端口映射网络配置中的一项技术,它通过路由器或防火墙或纯软件方式,将外部网络的请求转发到内网中指定设备的特定端口,使外部设备能够访问本地网络中的服务。简单来说,端口映射就像一位“信使”,根据自己预设规则,把“来访的客人”指引到正确的房间,让服务顺利提供。当我们处于局域网环境时,内部设备的 IP 地址是私有地址,无法被外网直接访问。此时,端口映射就发挥了关键作用。它通过路由器或防火墙网络设备或单纯的端口映射软件,将公网的某个端口与内网主机的特定端口建立映射关系。
ensp终端能ping通防火墙dmz区域接口但是ping不通服务器
05-30
<think>好的,我现在需要帮助用户解决在ENSP环境中,防火墙DMZ接口能ping通但服务器无法ping通的问题。首先,我得回忆一下用户提供的引用内容,看看有没有相关的配置信息可以参考。用户提到的引用[1]中,配置了trust区域,包括接口加入区域、IP地址设置,以及静态路由的添加。这可能提示我在检查DMZ区配置时,要确保接口正确加入DMZ区域,并且IP地址配置正确。另外,静态路由的问题也可能导致连通性问题,比如缺少到DMZ服务器的路由。引用[2]提到在配置目的地址时,可以直接填写DMZ区的IP地址或新建地址,服务选择相关服务,并设置允许的时间段和动作。这里可能涉及到安全策略的问题,如果策略中没有允许ICMP协议(ping使用的),即使网络层通了,应用层也会被拦截。需要检查防火墙的安全策略是否允许从源区域到DMZ区域的ICMP流量。 引用[3]涉及生产区访问DMZ时的portal认证,用户管理和密码策略。虽然当前问题可能不直接涉及认证,但如果服务器本身有访问控制,比如操作系统的防火墙设置,可能需要检查服务器的Windows防火墙或iptables是否阻止了ICMP请求。接下来,我需要系统地列出可能的原因和解决方法。首先,检查服务器本身的IP配置和防火墙设置。然后,确认DMZ接口的配置是否正确,包括区域绑定和IP地址。接着,查看路由表是否有到达DMZ服务器的正确路由。之后,检查安全策略是否允许ICMP。最后,考虑其他因素,如端口状态、ACL限制或NAT转换问题。 需要确保每一步都逻辑清晰,帮助用户逐步排查。例如,先确认服务器本地是否能ping通自己,这可以排除服务器自身的问题。然后检查防火墙接口是否加入正确的区域,并配置正确的IP。路由部分可能需要查看静态路由或动态路由是否正确。安全策略方面,引用[2]提到服务的选择,所以需要明确策略是否允许ICMP。最后,高级问题如ACL或NAT也可能导致此现象,特别是如果存在地址转换,可能需要检查NAT规则是否正确。此外,用户可能没有意识到服务器操作系统的防火墙会影响结果,所以需要提醒他们检查Windows防火墙Linux的iptables设置。同时,引用[3]中的portal认证虽然主要针对生产区访问DMZ,但如果有其他认证机制误配置,也可能导致问题,不过可能性较低,可作为最后考虑的因素。 总结下来,我需要分步骤列出可能的原因,并对应解决方案,确保用户能一步步排查问题,并参考提供的引用内容中的配置要点,比如静态路由、安全策略和服务启用情况。同时,语言要简洁明了,避免使用过技术术语,让用户容易理解。</think>在ENSP环境中,防火墙DMZ接口能ping通但服务器不通的常见原因及解决方法如下: ### 一、基础配置检查 1. **服务器IP配置验证** - 确认服务器IP地址、子网掩码与防火墙DMZ接口处于同一网段(如防火墙DMZ接口为$192.168.2.1/24$,服务器应为$192.168.2.x/24$) - 检查服务器网关是否指向防火墙DMZ接口IP地址[^1] 2. **防火墙接口绑定** - 确认防火墙连接服务器的物理接口已加入DMZ区域 - 检查接口状态是否为`up`(使用`display interface brief`命令) ```python # 示例:查看华为防火墙接口状态 <Huawei> display interface brief ``` ### 二、路由与策略分析 3. **路由配置排查** - 检查源区域(如Untrust/Trust)到DMZ区域的路由条目 - 确认存在指向DMZ服务器的静态路由(如`ip route-static 192.168.2.0 255.255.255.0 192.168.2.1`)[^1] 4. **安全策略配置** - 验证源区域到DMZ区域的安全策略是否放行ICMP协议 - 检查策略生效时间段和服务对象是否包含`ping`服务[^2] - 使用`display security-policy rule`查看策略匹配情况 ### 三、高级故障排查 5. **服务器自身防护** - 检查服务器操作系统防火墙是否关闭(Windows防火墙Linux iptables) - 验证服务器网络服务是否正常启动(通过本地`ping 127.0.0.1`测试) 6. **ACL/NAT干扰** - 排查是否存在拦截ICMP的访问控制列表(ACL) - 检查NAT策略是否错误转换了服务器地址(特别当存在区域互访时) ### 四、特殊场景处理 7. **认证机制影响** - 若DMZ服务器部署portal认证,需检查认证策略是否配置错误[^3] - 确认用户密码未过期(引用[3]提到密码有效期10天的限制) 8. **抓包定位法** - 在防火墙服务器同时抓包分析: ```python # 防火墙抓包示例 <Huawei> capture-packet interface dmz0/0/1 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值