ROS Dst-Nat 后内网不能通过公网IP访问内网服务器解决方法

通常企业内部会有很多服务器需要互联网用户访问,这时就需要做Dst-Nat. 但是我们配置完后会

发现内网用户不能通过公网IP访问对应的服务器。其实这时我们再添加一条策略即可搞定.

实例说明:

内网服务器:172.16.0.101

路由器LAN口: 172.16.254.2

公网IP: 106.37.xxx.xxx

外网访问IP假设为 1.1.1.1    内网访问的PC 假设IP为172.16.3.100

配置NAT:

配置完后,外网可以正常访问了.但是内网通过公网IP不可访问.

究其原因:

外网访问流程:  1. soureIP 1.1.1.1   destinationIP 106.37.xxx.xxx

2. soureIP 1.1.1.1  destinationIP 172.16.0.101(dst-nat后)

3. soureIP 172.16.0.101     destinationIP  1.1.1.1

4. soureIP 106.37.xxx.xxx     destinationIP  1.1.1.1 (src-nat 后)

这时,第一步骤和第四步骤请求和响应一致,因此没有任何问题.

但是当内网通过公网IP访问内网服务器时:

1.  soureIP 172.16.3.100   destinationIP 106.37.xxx.xxx

2.  soureIP 172.16.3.100   destinationIP 172.16.0.101(dst-nat后)

3.  soureIP 172.16.0.101   destinationIP  172.16.3.100 

在第三 步骤中, 因为服务器和访问的PC是在一个子网网络,因此服务器响应包直接响应给客户PC。 但是由于PC请求包的目的地址是  106.37.xxx.xxx ,而响应包的确是   172.16.0.101,所以

PC会决绝掉响应。 因此造成不能访问的现象。

在防火墙添NAT链中加一条如下策略,即可解决问题:

添加之后内网的访问流程如下:

1. soureIP 172.16.3.100  destinationIP 106.37.xxx.xxx

2. soureIP 172.16.254.2  destinationIP 172.16.0.101

3. soureIP 172.16.0.101     destinationIP  172.16.254.2

4. soureIP 106.37.xxx.xxx    destinationIP  172.16.3.100

问题解决。详情请参考:http://wiki.mikrotik.com/wiki/Hairpin_NAT

时间: 2024-08-02 11:00:30

ROS Dst-Nat 后内网不能通过公网IP访问内网服务器解决方法的相关文章

解决为什么内网不能用公网地址访问内网服务器

NAT地址池和服务器地址要与出口IP不同网段,NAT地址池可以和服务器地址在同一网段,也可在不同网段. 对于下文中推论的回答:我认为不会成环,ping NAT地址池的没用到的地址,得不到回应,就没有回去的数据包,怎么会成环呢..... 以下参考下面这个文章,附上本文留存,原文引用链接为: http://www.2cto.com/net/201202/119693.html NAT网络回流现象解释,内网使用服务器的外网IP登陆 hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网

内网环境中公网域名解析成内网地址的问题

防火墙默认开启dns的alg功能,是不会把域名服务器回应的服务器公网地址反回给客户端的,只返回内网地址.  NAT设备对来自外网的DNS相应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果.因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址.端口和协议的映射关系,由域名获取应

(转)内网网站发布到外网-nat123动态公网IP动态域名解析

环境描述: 路由器分配的是动态公网IP,且有路由器登录管理权限,网站服务器部署在路由器内部网络.如何将内网网站发布到外网大众访问? 解决方案: 内网使用nat123动态域名解析,将域名实时固定解析到路由公网IP,然后在路由器上做网站端口映射.外网访问网站时,使用动态解析域名. 实现过程: 1,明确网站内网访问地址端口,确保网站服务正常,在内网可以正常访问连接.如我内网网站访问地址是192.168.1.22:80.如果本地公网IP的80端口被屏蔽,可以更换其他网站端口,或使用nat123的80映射

公网IP与内网IP,私家车与公交车,两者体验大不同!

“提速降费”已经喊了很多年,很多用户家里都升级安装了百兆甚至千兆宽带,再也不会出现一人看电影,全家缓冲的情况了. 但大家都知道,每个宽带账号都会分配一个公网IP地址.公网IP地址不是无限的,宽带发展到今天,公网IP地址也已逐渐告罄.于是,近几天很多网民都在抱怨:“自家的公网IP,被偷偷换为内网IP”. 公网IP和内网IP的使用体验有哪些不同?如何获得公网IP? 路由器只需一个公网IP就可以供下面多个电脑联网使用.由于不同的内网IP能够重复使用.所以内网IP通常有以下类型:10.0.0.0~10.

linux 外网ssh通过端口映射访问内网linxu

1,外网ssh通过端口映射访问内网linxu服务器

让我们聊聊如何让局域网内的应用被公网用户访问

一图胜千言 我先将我的架构图贴上来,稍后我在慢慢讲解. 原理 局域网IP(私有网络IP段) 我们都知道IPv4,很多人也知道局域网,但是很初入研发行列的人并不知道局域网IP(私有网络IP地址段)这件事情的存在.那么私有网路IP段是什么?一句话概括就是,你使用的IP地址是可以被重复的,你能访问公有网络IP地址段(IP地址不可重复),但是别人没办法访问你的IP地址.那么这些地址都是什么,可以看下面这个表 开始地址 结束地址 IP数量 A类,8位掩码,1个地址段 10.0.0.0  10.255.25

公网IP、私网IP

公网.内网是两种Internet的接入方式.公网接入方式:上网的计算机得到的IP地址是Internet上的非保留地址,公网的计算机和Internet上的其他计算机可随意互相访问. NAT(Network Address Translation)是网络地址转换,它实现内网的IP地址与公网IP的地址相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对公网IP地址的占用.NAT的最典型应用是:在一个局域网内,只需要一台计算机连接上Internet,就可以利用NAT共享Internet连

​随时笔记---修改ip访问外网

随时笔记---修改ip访问外网 Linux环境: 网卡上增加一个IP: ifconfig eth0:1 192.168.0.1 netmask 255.255.255.0 删除网卡的第二个IP地址: ip addr del 192.168.0.1 dev eth0 这种方式增加的虚拟IP,可以通过ifconfig查看 另一种增加虚拟IP的方法(ifconfig查看不到): 增加虚拟IP: ip -f inet addr add 192.168.146.229/32 brd 192.168.146

Centos 7.5 载VMware下搭建host网络使用静态ip访问外网

Centos 7.5 载VMware下搭建host网络使用静态ip访问外网 设置网络连接模式 修改ip: cd /etc/sysconfig/network-scripts/ cat ifcfg-ens33 TYPE=Ethernet #BOOTPROTO=dhcp BOOTPROTO=static IPADDR=10.10.1.120 NETMASK=255.255.255.0 NM_COMTROLLED=no DEFROUTE=yes PEERDNS=yes PEERROUTES=yes I