如何才能让内网用户访问到DMZ区的服务器

Posted 2023-03-21

网络结构是这样的：

防火墙是思科515

内网ip是10.254.1.0/24

外网ip是218.210.222.1/26

dmz区ip是192.168.1.1/24

所有用户，服务器和防火墙都连在同一台交换机上，现在有一台web服务器放到了DMZ区里了，在防火墙上也做好了net，对应的外网ip能够正常访问这台服务器。

但是现在问题是这样，内网的用户如果想访问这台web服务器只能用假地址访问，不能用外网地址访问，请问如何设置防火墙才能让内网用户用外网地址访问到这台服务器啊？

1、那个不能算是假地址，只能说是我web服务器的内网私有地址。
2、你的设置基本没有什么问题了，但是不同的路由器对这种情况的处理方法不尽相同。有的路由器有选项可以选择是否可以访问同一路由器下不同公网ip地址的服务，有的路由器则直接将你对web公网ip地址的请求转换到DMZ中的访问内网私有ip地址，有的则直接不提供上面的所有功能，也就是不能访问。
3、你的这种情况建议你使用域名访问来解决，在公网DNS上将域名解析到公网ip地址，在内网中建设一个DNS服务器既可以做上网DNS缓存服务器使用，也可以负责在内网解析web服务器，同一个域名解析到内网私有地址，这种方法可以做到所有ip地址设置对最终用户透明。 参考技术A 在NAT 的static上加DNS参数
static (inside,outside)X.X.X.X .X.X.X.X dns netmask 255.255.255.255 0 0追问

我没有域名，就是IP地址访问，但是内网用户访问不了公网的IP。

追答

内网用户能访问互联网就可以使用公网IP访问服务器,这个没问题的,你检查一下你的配置吧