关于pix.asa防火墙内网通过域名访问内部服务器的解决办法
2008-05-17 13:57
621 查看
网上很多帖子都讨论过这个问题,内部到底能不能通过域名和公网地址访问内部服务器的问题。经过我的严格测试,,在pix525 上面测试,,,内部通过域名和内网地址是可以访问内部服务器的(dns服务器在防火墙外面)。但没办法通过公网地址访问 ,环境很简单 公网地址是220.0.0.1 ,域名www.shimen.com 对应的内部服务器的地址是192.168.0.2 在pix525上面测试,命令如下,(pix525只有2个端口,)
方法一:通过dns后缀解决
static (inside,outside ) 220.0.0.1 192.168.0.2 netmask 255.255.255.255 dns
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside
其实就在静态影射命令的后面加了一个dns后缀 ,就能通过域名访问内部服务器,其实原理很简单,因为我们的dns服务器在防火墙外面(或者说是电信解吸的),内部没有dns服务器,所以当我们通过域名访问内部网络的时候,首先通过防火墙找到电信的dns服务器,
由外网的dns服务器解吸域名www.shimen.com 为对应的公网地址220.0.0.1 这个时候 如果没加dns这个后缀。防火墙会认为这个web服务器就在防火墙的外面,就后丢掉这个dns回复包,但加了这个dns后缀后 会把这个公网地址重定向为内网地址192.168.0.2 。然后内网用户就可以通过192.168.0.2这个地址访问web服务器了。在内部测试ping www.shimen.com 解吸返回的是192.168.0.2这个地址
方法二 通过别名alias 命令解决
static (inside,outside ) 220.0.0.1 192.168.0.2 netmask 255.255.255.255
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside
alias (inside) 192.168.0.2 220.0.0.1 255.255.255.255
这个办法原理也和上面一样 只是实现方式不同,不在静态隐射后面加dns后缀。在添加一一条别名命令alias也可以把域名重新定向为内步地址
通过这2种方式可以解决内部通过域名访问内部服务器的问题,这个是我经过测试做出的结论,前段时间调试pix防火墙遇见的问题,,具体的查看cisco文档也有详细的说明
结论 内部能通过域名和域名访问内部服务器,,但没办法通过域名和公网地址访问
附件:http://down.51cto.com/data/2349930
方法一:通过dns后缀解决
static (inside,outside ) 220.0.0.1 192.168.0.2 netmask 255.255.255.255 dns
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside
其实就在静态影射命令的后面加了一个dns后缀 ,就能通过域名访问内部服务器,其实原理很简单,因为我们的dns服务器在防火墙外面(或者说是电信解吸的),内部没有dns服务器,所以当我们通过域名访问内部网络的时候,首先通过防火墙找到电信的dns服务器,
由外网的dns服务器解吸域名www.shimen.com 为对应的公网地址220.0.0.1 这个时候 如果没加dns这个后缀。防火墙会认为这个web服务器就在防火墙的外面,就后丢掉这个dns回复包,但加了这个dns后缀后 会把这个公网地址重定向为内网地址192.168.0.2 。然后内网用户就可以通过192.168.0.2这个地址访问web服务器了。在内部测试ping www.shimen.com 解吸返回的是192.168.0.2这个地址
方法二 通过别名alias 命令解决
static (inside,outside ) 220.0.0.1 192.168.0.2 netmask 255.255.255.255
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside
alias (inside) 192.168.0.2 220.0.0.1 255.255.255.255
这个办法原理也和上面一样 只是实现方式不同,不在静态隐射后面加dns后缀。在添加一一条别名命令alias也可以把域名重新定向为内步地址
通过这2种方式可以解决内部通过域名访问内部服务器的问题,这个是我经过测试做出的结论,前段时间调试pix防火墙遇见的问题,,具体的查看cisco文档也有详细的说明
结论 内部能通过域名和域名访问内部服务器,,但没办法通过域名和公网地址访问
附件:http://down.51cto.com/data/2349930
相关文章推荐
- 关于DNAT后,内网用户无法通过域名访问服务器的解决
- 关于因各种原因,造成LINUX主机不能通过域名访问自己的解决办法
- 内网用户通过域名访问内部服务器解决方案
- 解决 Cisco ASA 内网用户不能通过域名访问内网web问题!
- H3C防火墙——回环流量问题(内网终端通过外网IP访问内部服务器)
- 路由器通过NVI解决内网访问内部服务器的外部映射地址测试
- 内网PC通过NAT server公网地址访问内部服务器时TCP三次握手不成功 推荐
- 如何把域名映射到内网服务器(内网能访问,但是通过域名不能访问)
- 阿里云服务器上安装完成并启动Tomcat后,通过http不能访问--解决办法
- 服务器访问控制——基于组网结构前端有防火墙,服务器都在防火墙内,内部使用内网ip的架构
- 1、SRX防火墙Static NAT解决内网无法通过公网访问内网服务问题
- 关于新搭建的xampp服务器只能本地访问,外部出现Access forbidden!的解决办法
- H3C 路由器内网用户通过域名访问内网服务器的配置方法
- 【水晶玻璃鞋 11】解决Filezilla server 搭建的FTP服务器本机可以访问,而其他主机无法访问的办法(不关防火墙)
- win7下apache服务器本机可通过ip访问,局域网不能通过ip访问的解决办法
- 服务器内部可以访问,外网无法访问解决办法
- 手机通过代理的方式访问内部测试服务器域名访问项目
- 使用frp通过自定义二级域名访问内网服务器