網絡環境介紹:
公司內網有一臺web服務器,地址是192.168.100.100,web服務端口爲80,而且爲這臺web服務器申請了DNS A記錄的域名解析服務,解析記錄是公司出口ip地址100.100.100.100。在辦公區網絡環境裏,還有內網192.168.10.0網段,須要經過申請的域名來訪問公司內網的192.168.100.100的web服務。
作法是在防火牆的出口,作一條端口映射,100.100.100.100:80到192.168.100.100:80的端口映射。
問題來了,作好端口映射之後,其餘外部網絡經過域名訪問公司的web服務是正常的,可是公司內網用戶經過域名訪問公司本身的web服務,卻沒法訪問;而公司內網用戶經過192.168.100.100:80私有地址訪問,是正常的。這種狀況,就是由於作好端口映射之後,訪問web服務的流量在響應的時候流量沒有迴流到防火牆致使的。
緣由分析:
如上圖,假如是192.168.10.10經過申請的域名訪問192.168.100.100的web服務。這裏假設訪問的源端口是10000,目標端口是80,數據包分析以下:
C2主機發起web請求.由於經過域名訪問的,DNS解析服務正常,那麼訪問目標就是100.100.100.100:80
192.168.10.10:10000--->100.100.100.100:80
數據包最終會被路由到防火牆上,防火牆檢查訪問的目的地址,匹配到它的端口映射策略,將目標地址改成對192.168.100.100的訪問,創建起一個針對目標ip地址轉換的NAT會話表
192.168.10.10:10000--->192.168.100.100:80
而後數據包到會被轉發到192.168.100.100服務器上並會響應192.168.10.10主機的請求,將上述訪問的源目ip地址及端口進行倒轉,並將數據包交給它的網關處理,圖中就是R1路由器
192.168.100.100:80--->192.168.10.10:10000
R1路由器檢查訪問者的源ip和目標ip地址,發現目標ip地址是192.168.10.10,是R1路由器一個可路由的內網ip地址,就會將數據包直接路由到C2主機上
C2主機接收到數據包,檢查數據包的源ip和端口是192.168.100.100:80,發現其自己並無這樣一個http會話與之相匹配,就是說C2主機並無主動發起對192.168.100.100:80的訪問,發起的是對100.100.100.100:80的訪問,那麼C2主機就會丟棄這個數據包,致使內網用戶經過域名或者公網ip地址訪問本身的內網服務器不通的現象。
192.168.100.100:80--->192.168.10.10:10000
解決方法的思路:內網主機在訪問的時候,將web服務的響應流量回流到防火牆上來,接受防火牆的處理。就是說,在流量通過防火牆的時候,將源地址作一個修改,使得R1路由器在路由數據包的時候,還把這個數據包路由到防火牆上來,而不是在內網直接路由;防火牆上有記錄它所作的相應修改(作源地址轉換,並維護這個NAT會話表便可),再把以前的修改給改回來,再轉發給內網主機便可。
內網主機對經過公網對內網服務器訪問的時候,流量在通過防火牆時,將內網主機的ip地址修改成一個外網ip地址(源NAT轉換),並作好及維護相應的NAT會話的記錄,這樣服務器在接收到數據包以後,發現源ip地址是一個外網ip地址,這樣數據流量會迴流到防火牆,防火牆檢查相應的源NAT轉換策略,發現能夠匹配,則進行源NAT的還原,並經數據包路由到內網的主機中。
nat address-group hairpin 0 ----創建一個NAT地址組
mode pat -----模式 PAT(接口轉換)
section 0 1.1.1.1 1.1.1.1 ----(本例只包含一個地址:1.1.1.1,此地址爲虛擬地址,沒必要真實存在,不與內網衝突便可)html
nat-policy ---NAT策略視圖
rule name wchairpin ---新建一個NAT條目
source-zone trust ---匹配源安全域爲TRUST
destination-zone trust ----目的安全域也爲TRUST
source-address 10.236.46.0 0.0.0.255 ----匹配須要NAT的源地址
destination-address 10.236.46.5 0.0.0.0 -----匹配訪問的目的地址
destination-address 10.236.46.9 0.0.0.0
destination-address 10.236.46.10 0.0.0.0
action nat address-group hairpin ----啓用改條策略,並制定NAT轉換地址爲hairpin地址組web
至此,內網已能夠正常訪問公網映射的服務器。安全
原文出處:https://www.cnblogs.com/Yu-Qing/p/11984297.html服務器