Question

如何让内网通过外网IP访问我的WEB服务器(外网IP)呢?

我的是思科pix515防火墙。网络是这样组成的: 外网进来-----CISCO PIX515------华为S3900(VLAN)------web服务器＋终端A＋H3C ER5200交换机(DHCP)------终端B. S3900上划分VLAN(10.40.126.x,10.40.127.x,10.40.128.x,10.40.129.x,192.168.0.x). web服务器为（192.168.0.x）,由防火墙映射到外网的IP(222.185.233.x),终端A为(10.40.126-129.x),H3C ER5200为（10.40.127.233/255.255.255.0/10.40.127.1:10.40.129.1）终端B为（10.40.129.x）要怎么样才可以让终端A和B都可以访问我的WEB服务器(外网IP)呢?

Answer 1

你的描述有点混乱，我理解到的意思是这样的，你看对不对：

1、需求：web服务器由防火墙映射到公网地址222.185.223.x上，现在想实现内网终端（A和B），可以通过访问222.185.223.x这个地址打开网站。

2、分析：现在由于只做了一条NAT规则，也就是把web服务器映射到公网上。当内网终端访问公网地址的时候，防火墙把数据包的目的地址转化为web服务器的内网地址后，发给了服务器，服务器回包的时候，源地址写终端的内网地址，所以该数据包直接通过核心交换就给了客户端，客户端看到回包地址不是防火墙的公网地址，所以就丢掉了这个数据包。

3、解决：
在防火墙再做一条规则，凡是由内网终端网段去往访问web服务器地址（192.168.0.x），都需要进行源地址转换，转换成防火墙任意一个接口地址即可，例如防火墙接华为S3900的那个接口地址即可。

Answer 2

你的PIX既是你的内网上外网的网关，又是你web服务器的NAT出口。这样会造成一个问题就是在PIX上做完NAT之后发现是自己内网的一台服务器就无法返回了。需要做类似NAT回环之类的东西的。

Answer 3

你的终端A和B都是内网的啊，直接用内网地址就可以了，如果要让外网地址访问你的web服务器，那么就要在你的防火墙上做规则，然后还要在3900上做NAT转换和绑定，印象中是这样，具体怎么做你上网找找过程，PIX515没玩过，3900的话只做过NAT转换，这一系列工作还需要你慢慢研究，不过你研究出来之后收获会很巨大的

Answer 4

其实解决很简单，只要服务器能上网就行，不用设置路由器啥的，百度一下vpn456,应该能帮到你，实现web 对外发布。

Answer 5

pix 静态映射，然后做nat回环，我相信你看不懂nat回环 哈哈 pix有个简单解决方法，在静态映射之后加个dns 就搞定了
static xxxxxxxxxxxxx dns 这样的格式

追问

你应该看出来我这边是vlan;
web服务器和终端在内网是隔离的,无法ping 通.
我对这些算是小白,只会些简单操作.
static xxxxxxxxxxxxx dns 202.102.3.141
是这样吗?还是不要加参数?

追答

所以做nat回环 直接dns 不用跟IP