Nat回环(Lan——>Lan端口映射原理)

最新推荐文章于 2025-02-26 13:04:01 发布
最新推荐文章于 2025-02-26 13:04:01 发布
阅读量1.8w 收藏 11
点赞数 1
文章标签: 服务器 dns服务器 防火墙 web服务 server 互联网
本文介绍如何配置Nat回环实现局域网内的服务器通过域名访问自身,包括DNAT和SNAT的具体配置步骤及注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址:http://www.cisco-club.com.cn/space-112942-do-blog-id-1438.html

Nat回环(Lan——>Lan端口映射原理)

Bati-gol 整理

 

应用背景:

局域网内网有服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip来访问内网服务器。如下图所示:

 

名词解释:

DNAT:转换目标ip地址。

SNAT:转换源ip地址。

需求:将外网202.96.128.580端口映射至内网192.168.2.1080端口,外网地址对应有域名,以对外服务。同时,内网无DNS服务器,内网用户通过公网DNS解析通过同样的公网域名访问内网web服务器,要求防火墙能将内网访问该域名80端口的请求再次定向到内网服务器,使得内部访问公网域名的数据直接返回给内网服务器,以节省互联网带宽。

 

数据流走向分析:内网服务器的真实ip和访问端口是192.168.2.1080,要能够访问到这个服务器资源,必须需要把访问的目标ip 202.96.128.5转换成192.168.2.10,这样访问数据包才会转回内网,否则数据包交到公网上,将访问不到真实的服务器。那么需要在设备上做一次DNAT(对访问服务器的数据做目标ip的转换)。

 

如果只在设备上做一次DNAT上网转换的数据包和转发流程如下图所示:

文中所列的数据包的结构均为:

第一步:封装访问到目标ip202.96.128.5的数据由客户端发出

第二步:在设备的LAN口接受到数据包,匹配DNAT规则,对数据包进行目标IP的转换

第三步:经过设备转换的数据包从lan口发出,交给局域网的真实服务器192.168.2.10.

第四步:服务器对访问请求做回应,它收到数据包的源ip192.168.2.3,成为封装回应的目标ip,那么数据包有内网服务器直接发给内网主机

第五步:内网主机收到一个源ip192.168.2.10的回应,和它发给目标ip202.96.128.5的请求不一致,所以数据包直接被丢弃。在客户端看来,访问服务器失败。

由以上的数据包流程可以看出,要保证内网客户端能访问到服务器,只做DNAT是不够的。

那么需要服务器将回应数据发回给网关设备,再由网关设备转回给客户端,客户端才会接受数据。流程图应该如下图所示:

那么要让服务器的数据发给网关,那么在服务器接收到的数据源IP是网关的IP,所以网关

发给服务器的数据包结构应该是:

这个数据包,和只做了一次DNAT从网关处发出的数据包

相比,源IP 做了转换。所以才需要在网关设备处再做一次SNAT

如果网关要代理内网上外网的话,那么也启用了SNAT,进行私有地址到公网地址的转换。

所以这里的SNAT,必须要设置条件,符合条件才转换,而且要比上网的SNAT优先匹配。否则会对上网产生影响。

先经过网关设备DNAT处理,再经过SNAT处理的数据包走向如下图:

由于在网关处做了DNAT和SNAT的转换,每做一次转换,设备都会记录一个链接,当服务器回应数据再经过网关时,网关会根据链接再做一次DNAT和SNAT,那么数据包发回给访问客户端的是:,对于客户端来说,它之前是发给202.96.128.5的访问请求,所以会接受数据包。

此外对于网关设备来说,数据包是由LAN传给LAN 的,所以还需放通防火墙的LAN--LAN规则。

 

 

应用举例

用户需求:

用户内网有一台服务器:192.168.0.1WAN1 口使用光纤接入,有公网IP 地址(202.x.x.x),该公网IP 地址对应一个域名:www.xxx.com,已经使用DNAT 做端口映射把服务器发布至公网,并可以在公网访问www.xxx.com;现在要求在局域网(192.168.0.0/24 连接在LAN 口),也可以通过访问域名:www.xxx.com 达到访问web server192.168.0.1,规则如下:

 

用一国内产品演示:

1)      做端口映射,注意外网接口选择LAN 

           2)  做SNAT:将源地址转换成LAN 口。

如果有Lan-Lan规则,放通规则。开放LAN1LAN1 的防火墙规则:

注意事项:

a)如果服务器在DMZ 区,则第二步可以省略,但要注意放通LANDMZ 的防火墙规则。

b)上面的方法也适用于WAN 口为ADSL 拨号使用动态域名的情况。

zx824
关注
网络协议 — IPv6 互联网协议第 6 版
烟云的计算
06-08 3625
描述IPv4IPv6地址长度为 32 位(4 个字节)。地址由网络和主机部分组成,这取决于地址类。根据地址的前几位,可定义各种地址类:A、B、C、D 或 E。IPv4 地址的总数为 4 294 967 296。IPv4 地址的文本格式为 nnn.nnn.nnn.nnn,其中 0
【进大厂必学】3W字180张图学习Linux基础总结
L的存在的博客
05-26 4805
就不多说这段时间干啥去了吧,期间和很多的同学聊了天,有的童鞋已经开始工作,聊了聊工作上的事儿。有的是今年即将毕业的童鞋,有着自己的小目标,有的想尝试互联网,所以现在基本上都快进行二轮的复习了,有的同学备战公务员,凭着年轻这股劲儿向往自己理想的生活状态,无论怎么样,长路漫漫,走一步,算一步,每一步都算数。 今天分享的这篇文章是 Linux 相关的基础知识,深一点的内容基本上没有,不过对于刚需小伙伴来说,也就够了,有时间的话,最好按照这些命令去试一试,敲一敲,这样记忆更加深刻。 老规矩,先看目录,文章比较长,建
NAT的四种类型及类型检测【很好】
hyl999的专栏
12-20 4676
http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Five/Home/Catalog/201206/747042_97665_0.htm 考 虑到UDP的无状态特性,目前针对其的NAT实现大致可分为Full Cone、Restricted Cone、Port Restricted Cone和Symmetric ...
网工排错日记:NAT SERVER的内网回环问题(内网用户无法访问映射成公网的服务器
weixin_44799797的博客
03-09 5266
NAT SERVER内网回环问题 1、问题说明: 防火墙计划对内网中某台服务器(10.1.1.2)做了NAT SERVER(映射为200.1.1.1:80),使得外网用户可以通过公网地址访问该服务器;配置完成以后,发现外网用户(200.1.1.254)可以通过200.1.1.1:80访问服务器,内网用户(10.1.1.1)无法通过200.1.1.1:80访问服务器。 网络拓扑如下: 2、问题分析: 1> 因外网用户(20.1.1.254)可正常访问服务器,初步判定NAT SERVER配置不存在问题。
NAT回流,内网主机无法通过外网IP访问内网服务器问题
最新发布
guganly的专栏
02-26 699
NAT回流是指服务器提供NAT映射,即满足公网用户通过公网地址访问;也满足内网用户通过公网地址访问,内网用户访问的数据能正常返回就是数据回流功能。出现Nat回流这是正常现象,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的。按理再做完这一步以后,nat回流的问题就应该解决了,但是实际情况是并没有生效。经过分析,原因就是做好端口映射以后,内部服务器通过外网IP访问内部server的时候流量没有回流到防火墙导致的。
nat hairpin 端口回流(nat 回环
qq_35382262的博客
04-25 7646
在端口开启nat hairpin后,路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254,相当于从外网nat接口绕了一圈后再访问192.168.1.254。内网地址:192.168.1.2,内网服务器:192.168.1.254,外网地址:10.0.0.2。这样做的好处就是所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内部的攻击,防止内鬼。
NAT原理简介及路由器的端口映射方法
11-21
NAT原理简介及路由器的端口映射方法 NAT原理 端口映射方法
OpenWRT的NAT环回似乎失效问题
热门推荐
aplsc的专栏
01-25 1万+
自己编译了一个OpenWRT作为主路由,但是一开始端口转发无效,经过一番摸索,端口转发问题解决,但是在内网使用ddns外网+端口号无法访问又出现了,经过另外的折腾终于解决,现在记录一下,希望对存在类似问题的朋友有帮助。 OpenWRT版本号: 固件版本 OpenWrt R22.1.1 / LuCI Master (git-21.335.48743-5f363d9) 内核版本 5.10.93 一、端口转发失效的问题 有人说是内核的问题,有人说是docker的问题,再重新编译也比较麻烦,看看能不能省事哪里设置一
NAT loopback
Vinco's special column
07-11 1万+
在我的blogImplement NAT via iptables有这么一说: DMZ和Virtual server做的都是DNAT,即从wan口访问router/gate-way的某服务端口,其实是向router/gate-way内部网络的某设备/pc上的相对应的服务。且只能是wan端的客户访问lan端的服务才有这种端口转发/端口映射的关系,lan端的客户以router/gate-way的
TCP/IP卷一:40---NAT之(地址与端口的转换、过滤、NAT服务器NAT环回、NAT编辑器)
董哥的黑板报
08-19 2267
一、地址和端口转换行为 NAT的操作方式差别很大。大部分的细节涉及具体的地址和端口映射。ETF工作组 BEHAVE的主要目标之一是要阐明共同行为,规定哪些是最合适的。我们下面用一个通用的NAT映射例子开始介绍 案例: X:x ==>我们使用符号X:x表示在私有地址范围(内部主机)中的主机使用IP地址X、端口号x (对于ICMP,采用查询ID代替端口号)。通常X取自于定义在[RFC19...
简单实现内网主机通过防火墙nat回环路由实现安全互访
blakegao的专栏
09-16 6409
对指定的主机做单一静态nat映射,访问相同内网主机时,使用目的主机的全局地址,可以实现在防火墙出接口先将数据包交由ISP边缘路由器,再返回给防火墙的特殊效果。可能需要点到点链路子网掩码不同从而达到效果(防火墙/出接口掩码小于对端接口掩码),但模拟器在两端掩码相同的情况下仍然出现了相同的nat回包路由效果。
LVS集群 NAT(地址转换)、TUN(IP隧道)、DR(直接路由)
2201_75549363的博客
08-21 1172
2、配置节点服务器(后端服务器)#修改网卡网关为LVS服务器(192.168.190.10)mount.nfs 192.168.19.70:/opt/benet /var/www/html/ #挂载目录vim /etc/fstab #必须永久挂载mount -a #挂载生效mount -a3、配置负载调度器LVS(ens33:192.168.190.10 ens37:10.0.0.2)
29、Internet网络层——IPv4协议&IP地址(网络层)
跃寒的博客
01-24 3580
引言 Internet网络层今天成功的原则在RFC 1958中有描述。这里简单总结一下10大原则(从最重要的到最不重要的)(RFC中应该不止10个,寒注):(1)保证工作(可以工作)(2)保持简单(3)明确选择(在完成同样事情中的多种方法中坚定一种方法)(4)模块开发(协议栈思想)(5)期望异构性(6)避免静态选项和参数(7)寻找好的设计而不是完美设计(8)严格发送,宽容接收(9)考虑可扩展性(...
LVS Linux虚拟服务
weixin_50426792的博客
03-16 765
1、LVS集群的三种工作模式 1、NAT模式-网络地址转换 Virtualserver via Network address translation(VS/NAT) ​ 这个是通过网络地址转换的方法来实现调度的。首先调度器(LB)接收到客户的请求数据包时(请求的目的IP为VIP),根据调度算法决定将请求发送给哪个后端的真实服务器(RS)。然后调度就把客户端发送的请求数据包的目标IP地址及端口改成后端真实服务器的IP地址(RIP),这样真实服务器(RS)就能够接收到客户的请求数据包了。真实服务器响应完请求
通过iptables映射回环地址的端口对外提供服务
完颜振江
02-13 922
要通过 iptables 将本地回环地址127.0.0.1的端口映射到外部接口提供服务,你需要进行两个步骤:端口转发(Port Forwarding)和允许转发规则。
网络的ip地址,回环,特殊ip及路由表转发
qq_46506007的博客
03-26 1267
本文章需要你已经掌握了 A到E类的地址,但是有疑问的人 A类:0.0.0.0到127.255.255.255 但是 A类中 0.0.0.0到0.255.255.255 特殊地址,不能作公网ip,而且0.0.0.0是对应与当前主机、本网络,在DHCP 就明白这个的用处。 0.0.0.0 用途很多 比如静态路由还有局域网ipv4广播源地址。255.255.255.255 定义为整个互联网的ip, 如果0.0.0.0代表我啥都不是, 那么 255.255.255.255代表我啥都是 ...
NAT详解
OxOtn的博客
01-24 4860
介绍了防火墙NAT的相关概念
华为AR3260路由器配置NAT地址回流
WINDOWS SERVER 2003使用组策略禁用U盘
06-01 5997
4:先用G0/0/0建立一个NAT,建完这个在公司外面,或者在公司内部使用流量就可以公网地址,打开公司内部的服务器了。接口选择外网的接口,外部IP当前接口IP地址默认是外网的地址,外部端口号,内部IP,内部端口号根据实际情况填写。8:配置完就实现了地址回流的功能,在公司内部可以使用公网地址加端口号的方式访问公司内部的服务器了。5:在新建一个NAT,这个时候接口名称选择内部接口G0/0/1,外部IP填写外网的地址,外部端口号,内部IP,内部端口号,更具实际情况填写。3:我一般是使用一对一地址转,点击新建。
deep seek本地化部署后如何可以在内网中可以被其它用户访问(通过内网IP访问)
02-06
### DeepSeek 应用本地化部署后的内网 IP 访问配置 对于已经完成本地化部署的 DeepSeek 应用程序,在局域网环境中使其他设备能够通过内网 IP 进行访问,主要涉及以下几个方面的网络设置调整。 #### 1. 修改应用程序监听地址 默认情况下,某些应用程序可能仅绑定到 `localhost` 或者特定的外部接口。为了确保局域网中的其它设备可以连接至该服务器,需修改 DeepSeek 的配置文件使其监听所有可用网络接口或指定内部 IP 地址[^2]。 ```bash # 假设 deepseek 使用的是 Python Flask 框架作为 Web API 接口,则可以在启动命令中加入如下参数: python app.py --host=0.0.0.0 ``` 上述操作使得 DeepSeek 可以接受来自任何 IP 地址发起的请求,而不仅仅局限于本机回环地址(`127.0.0.1`)。 #### 2. 开放防火墙端口 如果操作系统上启用了防火墙服务,则还需要开放相应的 TCP 端口号以便让外界流量进入并到达目标进程。这通常涉及到更新系统的安全组策略或是直接编辑 iptables 规则来允许特定范围内的入站连接。 ```bash sudo ufw allow 80/tcp # 如果 web api 是运行在标准 HTTP 协议上的第 80 端口 sudo systemctl reload ufw ``` 此步骤确保了即使 DeepSeek 正确设置了监听选项,也不会因为被阻挡在外围防护之下而导致无法正常通信的情况发生。 #### 3. 设置路由器转发规则 (可选) 当希望从互联网侧也能间接触及位于私有子网下的 DeepSeek 实例时,就需要考虑 NAT 路由器层面的操作——即端口映射(Port Forwarding),将广域网(WAN)入口指向具体的 LAN 内部机器及其对应的服务端口。不过这一部分并非严格意义上的“内网”范畴,而是针对更广泛的远程接入场景所作准备。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值