6,185
社区成员
发帖
与我相关
我的任务
分享外网怎么访问内网WEB服务?
单位上网是专线接入10M, 有固定的IP地址,IP:226.173.48.xxx 入口处是接的深信服防火墙, 防火墙LAN出口接核心交换机, DMZ什么都不接, 核心交换机接三层交换机, 有100多台计算机, 划分为7个网段. 主要办公运用是10和20段
10.0.0.0段, 网关:10.0.0.10, 防火墙IP:10.0.0.240
10.0.1.0段, 网关:10.0.1.100
10.0.10.0段, 网关:10.0.10.100
10.0.20.0段, 网关:10.0.20.100
.....
依次类推
在10.0.20.xxx上配置有WEB服务, 通过IIS配置站点端口指定为8850(非默认的80), 不允许匿名访问, 集成WINDOWS验证,网内通过htpp://10.0.20.xxx:8850并且登录成功后可以访问到该站点.
在10.0.50.xxx上配置有ftp服务, 不允许匿名访问, 集成WINDOWS验证
现在的目的是任何地方(无论是外网还是内网), 可以通过htpp://226.173.48.xxx:8850能访问到WEB站点, 目前是这样配置的:
防火墙处"过滤规则"有LAN->DMZ, DMZ->LAN, WAN->DMZ, DMZ->WAN, WAN->LAN, LAN->WAN, 我过滤规则的配置为:
名称:WEB服务, 方向WAN->LAN, 动作:允许, 服务HTTP(80, 8080, 8850端口), 源IP:所有IP, 目的IP: 226.173.48.xxx
NET设置下"端口映射设置"下有, 名称:WEB服务,映射源接口:WAN, 外网映射源IP:226.173.48.xxx, 内网映射接口:LAN, 映射目的IP:10.0.20.xxx, 协议TCP, 映射源端口1:80到80, 映射目的端口1:80到80, 映射源端口2:8080到8080, 映射目的端口2:8080到8080, 映射源端口3:8850到8850, 映射目的端口3:8850到8850
这样配置后, 不管在内网还是外网输入http://226.173.48.xxx:8850都不能访问WEB站点, 但是上面的配置,映射源接口WAN改成LAN, 其它不变的话, 在网内任何计算机输入http://226.173.48.xxx:8850是能正常访问的, 我想映射这里应该不错, 只是想不明白为何LAN映射到LAN到成功了, WAN映射到LAN却不成功, 难道是我"过滤规则"WAN->LAN的配置不对, 请各位大X帮忙了, 谢谢了
...全文
请发表友善的回复…
发表回复
show_jfx 2009-06-18
- 打赏
- 举报
不知道怎么结, 我一点结贴过两秒钟, IE窗口状态栏显示"完毕, 后边紧跟着一警告ICON, 双击这个ICON, 也不弹出具体信息窗口, 手动刷新页面后, 根本没结贴
yugiant 2009-06-18
- 打赏
- 举报
应该做端口映射
puheavy123 2009-06-17
- 打赏
- 举报
在路由器上做个映射就行了。。。。
janser08 2009-06-17
- 打赏
- 举报
看看你的结贴率。。。。。
lyllyp 2009-06-17
- 打赏
- 举报
路由里配置虚拟服务器
zhou2288 2009-06-16
- 打赏
- 举报
学习
show_jfx 2009-06-16
- 打赏
- 举报
我在想, 对于防火墙, 它认为它自己是DMZ还是WAN, 如果是DMZ, 那么规则应该是WAN->DMZ, 所有IP->226.173.48.xxx, 映射DMZ->LAN, 226.173.48.xxx->10.0.20.XXX
如果是WAN, 规则WAN->LAN, 所有IP->226.173.48.xxx, 映射WAN->LAN, 226.173.48.xxx->10.0.20.xxx,
等电话咨询下了.
yuyuhaso 2009-06-16
- 打赏
- 举报
那么你打开WAN->LAN的10.10.20.XXX的8850端口试试
还是不行的话就打电话问防火墙的供应商,问问他们怎么打开WAN口的访问吧,因为你的端口映射已经做成功了,内网是可以访问的。
还是不行的话就打电话问防火墙的供应商,问问他们怎么打开WAN口的访问吧,因为你的端口映射已经做成功了,内网是可以访问的。
show_jfx 2009-06-16
- 打赏
- 举报
[Quote=引用 4 楼 yuyuhaso 的回复:]
我觉得应该加上TCP any -> 225.165.39.xxx:8050 的访问 但是方向应该不是WAN->LAN,
因为TO LAN的话目的IP就不是226.173.48.xxx了,因为LAN中没有226.173.48.xxx
你找找是不是有TO 防火墙的,因为你是在防火墙上设置端口转发的,或者你应该试试WAN->DMZ
[/Quote]
没有to防火墙的, 只有wan<->lan, dmz<->wan, lan<->dmz三个类型, 6个方向
因为我的服务器不仅提供WEB服务, 还有其它的"交互"任务, 如果将服务器放到DMZ中的话, 根据一些原则, DMZ到LAN是禁示通过的, DMZ到WAN也是. 只允许LAN或WAN到DMZ, 不允许DMZ跟其它区域交互
现在我的配置过滤规则是WAN->LAN, 源IP是:所有IP允许通过(80, 8080, 8850), 目的IP是:是我外网的静态固定IP地址(也就是226.173.48.xxx), 端口映射是WAN->LAN, 源IP:226.173.48.xxx, 目的IP:10.0.20.xxx, TCP80/8080/8850, 如果我将映射类型改为LAN->LAN的话, 那么内网中任何计算机通过http://226.173.48.xxx:8850是能正常的打开站点的, 但就是WAN->LAN时便不行
我觉得应该加上TCP any -> 225.165.39.xxx:8050 的访问 但是方向应该不是WAN->LAN,
因为TO LAN的话目的IP就不是226.173.48.xxx了,因为LAN中没有226.173.48.xxx
你找找是不是有TO 防火墙的,因为你是在防火墙上设置端口转发的,或者你应该试试WAN->DMZ
[/Quote]
没有to防火墙的, 只有wan<->lan, dmz<->wan, lan<->dmz三个类型, 6个方向
因为我的服务器不仅提供WEB服务, 还有其它的"交互"任务, 如果将服务器放到DMZ中的话, 根据一些原则, DMZ到LAN是禁示通过的, DMZ到WAN也是. 只允许LAN或WAN到DMZ, 不允许DMZ跟其它区域交互
现在我的配置过滤规则是WAN->LAN, 源IP是:所有IP允许通过(80, 8080, 8850), 目的IP是:是我外网的静态固定IP地址(也就是226.173.48.xxx), 端口映射是WAN->LAN, 源IP:226.173.48.xxx, 目的IP:10.0.20.xxx, TCP80/8080/8850, 如果我将映射类型改为LAN->LAN的话, 那么内网中任何计算机通过http://226.173.48.xxx:8850是能正常的打开站点的, 但就是WAN->LAN时便不行
yuyuhaso 2009-06-15
- 打赏
- 举报
我觉得应该加上TCP any -> 225.165.39.xxx:8050 的访问 但是方向应该不是WAN->LAN,
因为TO LAN的话目的IP就不是226.173.48.xxx了,因为LAN中没有226.173.48.xxx
你找找是不是有TO 防火墙的,因为你是在防火墙上设置端口转发的,或者你应该试试WAN->DMZ
因为TO LAN的话目的IP就不是226.173.48.xxx了,因为LAN中没有226.173.48.xxx
你找找是不是有TO 防火墙的,因为你是在防火墙上设置端口转发的,或者你应该试试WAN->DMZ
show_jfx 2009-06-15
- 打赏
- 举报
"是不是要把80映射到8850"有道理, 对WEB服务, 请求端应该都是通过80/443来的, 而到目的端才是8850, 我先试试.
另外LAN->WAN的规则, 源IP:10.10.20.xxx, TCP, 所有端口, UDP:所有端口, 允许通过
"比如防火墙上很有可能有WAN->防火墙访问端口的限制,直接访问防火墙某些端口的包直接就被丢掉了,怎么会被转发呢",
防火墙处"过滤规则"我过滤规则的配置为:
名称:WEB服务, 方向WAN->LAN, 动作:允许, 服务HTTP(80, 8080, 8850端口), 源IP:所有IP, 目的IP: 226.173.48.xxx
规则已经添了, 并且"模拟测试", 源IP:225.165.39.xxx, 目的IP:226.173.48.xxx(目的IP不应该是我内网10.10.20.XXX上WEB服务器的IP吧), TCP协议, 端口8850/80/8080已经 符合规则 允许通过的
另外LAN->WAN的规则, 源IP:10.10.20.xxx, TCP, 所有端口, UDP:所有端口, 允许通过
"比如防火墙上很有可能有WAN->防火墙访问端口的限制,直接访问防火墙某些端口的包直接就被丢掉了,怎么会被转发呢",
防火墙处"过滤规则"我过滤规则的配置为:
名称:WEB服务, 方向WAN->LAN, 动作:允许, 服务HTTP(80, 8080, 8850端口), 源IP:所有IP, 目的IP: 226.173.48.xxx
规则已经添了, 并且"模拟测试", 源IP:225.165.39.xxx, 目的IP:226.173.48.xxx(目的IP不应该是我内网10.10.20.XXX上WEB服务器的IP吧), TCP协议, 端口8850/80/8080已经 符合规则 允许通过的
yuyuhaso 2009-06-15
- 打赏
- 举报
WAN->LAN的方向还是有其他防火墙规则的限制的,你不单需要做映射,做了映射之后还要设置8850的相关安全项,比如防火墙上很有可能有WAN->防火墙访问端口的限制,直接访问防火墙某些端口的包直接就被丢掉了,怎么会被转发呢
zhangyunping 2009-06-15
- 打赏
- 举报
学习中.....路过.....lan-wan or wan-lan说明是做了限制,lan-lan说明对wan并没有规则,相当于没
建,应该就是在那出问题了,是不是要把80映射到8850,如果说错了权当没说。
建,应该就是在那出问题了,是不是要把80映射到8850,如果说错了权当没说。
