在實際的應用中很多的企業都會有這樣的需求,公司的服務器在內網中,在路由器或者防火牆當中做端口或IP地址映射,這樣直接訪問公網的IP地址就可以訪問到內部的服務器。但是很多企業管理員都希望在內網中也可以像公網一樣直接輸入公網的IP或域名就可以訪問到公司的內部服務器。
我實際應用中也遇到過很多這樣的問題,在此我講自己總結的幾大廠商的做個總結在此給大家共享下:
1、H3C路由器以及防火牆
實現方法:寫一條ACL,源IP地址可以是一個主機地址或一個IP地址段,但是源IP地址不可以直接寫成any。然後在路由器或者防火牆的內網接口上使用nat outbound acl-number 這個時候你就可以在內網直接進行測試了。如果ACL沒有寫錯的話,那你在內網就可以直接訪問到服務器了。
2、華賽防火牆:
實現方法:在防火牆中都有個untrust和trust區域,在華賽防火牆中做NAT的時候需要做一個NAT策略從哪個區域到哪個區域的數據流做什麼樣的動作等。在華賽防火牆中同樣寫一條NAT策略,但是這個策略是從trust到trust的。如下所示:
nat-policy zone trust
policy 20
action source-nat
policy source 192.168.8.0 0.0.0.255
address-group 10
policy 20
action source-nat
policy source 192.168.8.0 0.0.0.255
address-group 10
即可完成上述問題。
3、JUNIPER防火牆:
實現方法:JUNIPER防火牆可以說做的是比較人性化的。在你完成端口或主機的IP地址映射的時候,不需要做任何的操作直接在內網中輸入公網IP地址就可以實現上述要求。
4、hillstone(山石網科)
實現方法:山石網科也許繼承JUNIPER防火牆的有點,雖然JUNIPER防火牆不需要改動什麼就可以完成要求,但是在山石中我們也找到了要求。可以說也是一個比較人性化的東西。只要你在防火牆策略中加入一條從trust到trust以後就可以達到要求。
5、CISCO
實現方法:對於思科的路由器我是很無語了,也是至今我都沒有找到解決的辦法。我在實際的工作中遇到過這樣的問題,就是在內網中直接輸入域名是可以訪問你的,但是如果直接輸入IP地址就訪問不了。一直都沒有想明白這到底是什麼問題。如果有那位高人知道的話,還希望對小弟指點迷經。[email protected]這是小弟你的郵箱。希望高人指點!!!