如何通过公网IP经过防火墙访问内网服务器

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何通过公网IP经过防火墙访问内网服务器相关的知识,希望对你有一定的参考价值。

1、首先登录防火墙后台,找的源nat选项新建一条源NAT策略。

2、名字这里是Trust2Trust,源安全区域和目的安全区域都选择trust。

3、然后可以设置转换前的适配规则。这一步也可以不要,默认允许所有源访问所有目的IP的所有端口;考虑到安全性可以指定某个/些源访问某个/些目的地址的某个/些端口。

4、转换后的地址选择出接口地址。

5、然后确认,这样内网就能正常通过防火墙公网IP访问内部服务了。

参考技术A

公网ip在通常情况下没有办法直接访问内网服务器,因为内网通过NAT出去是单向行内,有三类办法可以解决:

1.通过反向代理或端口映射模式访问内网:

    在网关上(通常是路由器、防火墙)设置NAT的端口映射功能;

    方法2、在有公网ip的服务器或防火墙上设置反向代理(或发布服务器),反向访问内部的的WEB等应用,(如企业网络中的TMG防火墙、nginx服务器);(需要公网ip)

2.通过VPN访问

此方法安全性最高,一般用于访问企业内部OA、ERP等系统。具体做法是在路由器等网关设备上部署VPN服务,然后远程端通过拨入VPN的方式访问内网服务器;(需要公网ip)

3.通过第三方软件实现

如:花生壳内网版、teamviewer等。(无需公网ip)

注:根据不同的环境,需要具体分析,这里只是类举

参考技术B

在防火墙或者路由器上配置就可以,主要有三种实现方法:

    配置“端口映射”,把内网服务器要开放的端口映射出去。

    把“内网服务器”设置为“DMZ主机”,那么访问公网IP时,就直接访问到该内网服务器。

    有多个静态公网IP时,还有一个功能叫做“静态NAT”,也叫“一对一NAT”,可以把内网服务器NAT到指定的公网IP。和DMZ主机的功能差不多,区别就在于可以指定公网IP地址。

参考技术C 通过公网IP访问内网服务器可通过以下方法:

1、vpn
可在防火墙或使用专用的vpn设备,创建新的安全域,设置好连接所需的用户名和密码。
在防火墙访问控制策略中,设置允许vpn所在安全域访问内网服务器。

2、通过公网IP直接访问
注意:需要公网IP地址固定,且需要内网服务器有对应的公网地址。
在防火墙访问控制策略上添加,允许该公网IP访问内网服务器对应的公网IP地址。

3、通过跳板机
创建一台跳板机,为该设备分配公网IP。
设置访问控制策略,仅允许指定公网IP访问到该跳板机。
设置访问控制策略,允许跳板机访问内网服务器。
参考技术D 需要将内网服务器端口映射到公网IP上,前提是你这个公网IP是固定的,而不是经常随机变化的IP。

公网,内网

公网IP:

外网IP是全世界唯一的IP地址,仅分配给一个网络设备。比如你在家拨号,分配给你一个IP地址吧,那个地址是唯一的,你用你机器做个网站,别人访问你的IP地址就可以连接到你的机器)而内网IP是由路由器分配给每一部内部使用的IP地址,而内网的所有用户都是通过同一个外网IP地址进行上网的。

拥有公网IP,用户就无需经过路由器或交换机,直接可以上网。除此之外,还能够直接被外界所访问到,无需经如何设备,直接连接电脑。

内网IP:

内内网IP局域网,网线都是连接在同一个 交换机上面的,也就是说它们的IP地址是由交换机或者路由器进行分配的。而且每一个IP也是有所不同的,并且这些连接在同一个路由器上的电脑都可以通过internet连接共享的,也就是说网吧里面的电脑是可以访问网吧内另外一部电脑的。例如:
你家2台电脑,通过一个路由器接好,为了区分每台电脑每台电脑分配一个内部的IP地址,比如192.168.0.2 这个地址是内部的,也叫私网地址,这两台电脑都是通过一个外网IP地址上网的,但他们每个人还有个内网的地址,内网的地址外网不能直接访问。

在局域网中,每台电脑都可以自己分配自己的IP,这个IP只在局域网中有效。而如果你将电脑连接到互联网,你的网络提供商(ISP)的服务器会为你分配一个IP地址,这个IP地址才是你在外网的IP。两个IP同时存在,一个对内,一个对外。

 技术图片

 

 

 

由图可以看到路由器(第一层),交换机(第二层)然后是自己的电脑,所谓的内网就是从路由器以下开始的。我们内网用户的电脑都是经过交换机和路由器之后才能连到外网。

路由器只需一个公网IP就可以供下面多个电脑联网使用。由于不同的内网IP能够重复使用。所以内网IP通常有以下类型:

10.0.0.0~10.255.255.255

172.16.0.0~172.31.255.255

192.168.0.0~192.168.255.255

这些IP就是内网IP,其中你家的IP是否也在其中呢?

 

 

如何辨别自家网络是公网IP呢?其实除了上文中提到的内网IP,其余基本都是公网IP

 

【如何才能更换公网IP?】

 

 技术图片

 

 

用户如果对公网IP有必要需求,可以尝试联系自家网络运营商,可能有机会更换公网IP,不过由于目前公网IP(IPV4)基本已经分配完毕,使用出现枯竭,能够长期使用公网IP的可能非常渺小,只能希望IPV6技术的尽快普及,彻底解决公网IP枯竭的问题。

一些小型企业或者学校,通常都是申请一个固定的IP地址,然后通过IP共享(IP Sharing),使用整个公司或学校的机器都能够访问互联网。而这些企业或学校的机器使用的IP地址就是内网IP,内网IP是在规划IPv4协议时,考虑到IP地址资源可能不足,就专门为内部网设计私有IP地址(或称之为保留地址),一般常用内网IP地址都是这种形式的:10.X.X.X、172.16.X.X-172.31.X.X、192.168.X.X等。

 

·怎样理解互联网上的每台计算机都有一个唯一的IP地址:其实,互联网上的计算机是通过“公网IP+内网IP”来唯一确定的,就像很多大楼都是201房间一样,房间号可能一样,但是大楼肯定是唯一的。公网IP地址和内网IP地址也是同样,不同企业或学校的机器可能有相同的内网IP地址,但是他们的公网IP地址肯定不同。那么这些企业或学校的计算机是怎样IP地址共享的呢?这就需要使用NAT(Network Address Translation,网络地址转换)功能。当内部计算机要连接互联网时,首先需要通过NAT技术,将内部计算机数据包中有关IP地址的设置都设成NAT主机的公共IP地址,然后再传送到Internet,虽然内部计算机使用的是私有IP地址,但在连接Internet时,就可以通过NAT主机的NAT技术,将内网IP地址修改为公网IP地址,如此一来,内网计算机就可以向Internet请求数据了。

NATNetwork Address Translation,网络地址转换):

  • 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
  • 虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
  • 随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实 上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。

 

以上是关于如何通过公网IP经过防火墙访问内网服务器的主要内容,如果未能解决你的问题,请参考以下文章

如何让内网通过外网IP访问我的WEB服务器(外网IP)呢?

如何用公网IP访问IDEA的Webapp

ssh从外网访问内网的服务器,但内网没有公网地址,怎么实现呢?

FTP服务器 在公网用pasv模式访问 提示返回的地址是内网的IP和端口

如何让内网的CENTOS服务器能用域名访问?

公网访问内网被动模式FTP服务