Question

内网访问不了自己在防火墙上映射的WEB服务器，外网输入域名可以正常访问，内网缺访问不了，如何解决

内网访问不了自己在防火墙上映射的WEB服务器，外网输入域名可以正常访问，内网缺访问不了，如何解决

Answer 1

如何在NAT设备解决此问题（以网康VPN产品ASG为操作模板）

需求：

之前先将内网192.168.1.69的3389端口映射到wan口。

现在需要内网用户192.168.1.0/24段的人通过wan口地址访问这个映射，需要做两条地址变换。

解决方案：

首先目的地址变换，将所有192.168.1.0/24网段到wan口的数据的目的地址变换为192.168.1.69

其次是源地址变换，将192.168.1.0/24网段到192.168.1.69的数据的源地址转换为192.168.1.23

生成配置表如下：

Chain OUTPUT (policy ACCEPT 987K packets, 92M bytes)

pkts bytes target prot opt in out source destination

Chain PREROUTING (policy ACCEPT 39571 packets, 9748K bytes)

pkts bytes target prot opt in out source destination

0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.1.69:3389

43 4450 DNAT all -- * * 192.168.1.0/24 202.108.106.22/28 to:192.168.1.69

Chain POSTROUTING (policy ACCEPT 38043 packets, 2134K bytes)

pkts bytes target prot opt in out source destination

336 24365 MASQUERADE all -- * eth0 192.168.1.0/24 0.0.0.0/0

2 104 SNAT tcp -- * * 192.168.1.0/24 192.168.1.69 tcp dpt:3389 to:192.168.1.23

0 0 MASQUERADE all -- * eth+ 10.10.10.0/24 0.0.0.0/0

0 0 MASQUERADE all -- * ppp+ 10.10.10.0/24 0.0.0.0/0

缺陷：

现在只能适用于1个映射地址

这个配置方法在多个映射地址的情况下无法适用。

Answer 2

咨询防火墙厂商，有些公司的产品，就是在内网无法访问映射后机器。H3C的一些路由器就有这个问题。

Answer 3

举个简单的例子，知道p2p 吧，它的攻击原理就是利用ARP攻击，通过伪造网关，把内网的其他的机器的发送到互联网上的数据包都需要经过假网关处理，在发送出去，这样就起到了限制其他人网速的效果。中了arp攻击一般表现为时而掉线，网速很慢，ping 不通网关，等等。
像所谓的ARP防火墙，双绑，都不能彻底解决内网ARP攻击，内网PPPOE，虽然能解决ARP攻击，但是内网的二层通信就不能正常了（例如共享文件，打印机等等）也不是最终的解决方案。唯一的解决方案就是采用免疫网络。采用的是在终端安装免疫驱动，直接从网卡上拦截数据包，对发出和进入的数据包进行检测，一旦发现异常，直接丢弃，并且采用看守式绑定，保证了真实的网关和下面机器的身份认证，这才是终极ARP入侵防御的解决方法。。

Answer 4

认真检查IIS配置

Answer 5

映射出去的端口是不可以在内网用公网的ip来访问到的！但是你可以用欣向的免疫墙路由器，有DMZ功能的哦！把服务器放到DMZ区域就不会出现这个问题了。