查看:6372|回复：9
初级工程师
:loveliness: 标题可能有点绕口，情况是这样的；
内网有几个vlan，经过3层交换机连接到防火墙，各vlan均能正常通过防火墙上网。
防火墙只配置了一个公网出口，公网IP是一组IP地址（问电信要了10几个公网IP），自然，内网上网时，都默认从公网ip组中的第一个ip地址出去（访问就能看到是从哪个ip出来的）
现在的因为特殊的原因，要指定某个内部ip，上网时，必须从那组公网IP中的第二个Ip地址出去，请问防火墙上该如何做设置才能实现？（防火墙目前为cyberoam，日后会换成juniper）
网上搜了下策略路由的知识，貌似是在网络有多个出口时用的，对我这个情况应该不管用吧，
白袍大法师
有两种解决办法
1、可以做一对一的地址映射，让内网的某个地址和某个公网地址做映射。
2、可以做基于目标的NAT，即访问特定目标公网时，用指定公网地址出去。
这要求防火墙得支持。
juniper支持。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
初级工程师
谢谢版主回复：
我已经把公网ip组的第二个IP地址MIP给内部那个特殊的IP了，外面是可以直接通过第二个公网ip访问内部那个设备了，而那个设备主动访问外面的时，走的仍然是第一个公网ip出去，所以其进、出口ip地址不一样，导致了很多问题（那个设备是ip通讯设备）
白袍大法师
你现在用的这个防火墙，我没用过。。不知道怎么帮我。。
但juniper的是可以的
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
初级工程师
版主的意思是，juniper防火墙，MIP映射后，内部IP主动向外通讯时，固定走MIP绑定的这个公网ip出去？
白袍大法师
引用:原帖由 yutofye 于
15:01 发表
版主的意思是，juniper防火墙，MIP映射后，内部IP主动向外通讯时，固定走MIP绑定的这个公网ip出去？ 当然了！！只能是这个地址出去。。
别的防火墙也可以啊
有的防火墙支持，访问普通网站用接口地址或地址池地址出去，访问特定地址时用指定IP出去。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
做静态NAT映射 把对应的一个内网地址转换成对应的外网地址。！！！ 具体防火墙里怎么弄看看说明书吧！！
初级工程师
版主救急~换了juniper的设备，出现个问题：
1、e0/1端口配置为DMZ，ip是172.16.0.1，端口模式为route模式，这个端口用网线直接连接一台笔记本，设置笔记本ip为172.16.0.2，网关172.16.0.1，DNS为电信DNS；同时juniper上配置MIP，将某个空闲的固定ip直接映射给172.16.0.2，此时笔记本上网正常，而且进入ip138网站显示公网ip为MIP分配的那个IP。
2、撤掉笔记本，将DMZ口接到一台宽带路由器的WAN口（WAN口的Ip和刚刚笔记本一样），LAN口配置ip为192.168.0.1，下面接交换机和pc，pc的ip是192.168.0.2-254，GW是192.168.0.1，dns为192.168.0.1或者电信DNS或者172.16.0.2
问题来了，pc上不了网，先抛开dns解析问题，我在pc上直接ping某些公网ip，都不通。
于是我先排除宽带路由器的故障，我把WAN口接光纤下来的网络端口，分配个固定ip（就是不走juniper），其lan口和pc的配置照旧，此时pc上网正常。
所以还请版主看看，192.168.0.2-254的pc要在这种模式下通过juniper上网，我还漏掉了哪些配置？
初级工程师
问题终于搞懂了，这个情况和我昨天解决的那个帖子一样的（），是cyberrom上那个特定IP地址做的MIP没有生效而导致的。
其实两个帖子，总串起来就是这么一回事:开始用的juniper的设备，后来j坏了，所以临时拿个cyberoam顶着，c做配置时，那个特定的IP做MIP死活不能用，是因为那个IP的mac在电信的arp里，还是和坏了的juniper的mac绑在一起。
后来把那个特定的ip设进一个普通路由器，直接接光纤才临时凑合用，现在juniper好了，那个特定ip继续做MIP，问题和当初cyberoam又一样了，因为那个ip的mac在电信的arp里，又绑定在路由器的wan口上..................
本帖最后由 yutofye 于
10:14 编辑
做个静态的NAT就可以了
Copyright&
本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系：从外网访问局域网内的主机的方法(端口映射)
从外网访问局域网内的主机的方法(端口映射)
客户管理软件提供商&&&&&&&&&&&&&&&阅读字体：&&&&&&
首先要做的事情如下：
1、确认你内网的路由器是否支持端口映射功能
2、如果你的路由器支持端口映射功能，在你本机安装远程控制软件
3、远程控制软件安装后，设置路由器，输入远程控制软件的端口和你本机ip，做端口映射
4、在你本机安装花生壳之类的动态域名软件
5、测试成功后，你在外网打开远程软件控制端，输入动态域名就可以访问你自己电脑了
端口映射（Port Mapping）：
如果你是ADSL、MODEM或光纤等宽带接入用户，想在公司或单位内部建一个服务器或WEB站点，并且想让互联网上的用户访问你的服务器，那么你就会遇到端口映射问题。
通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口)，而访问不到内部服务器。要想让互联网用户访问到你建的服务器，就要在路由器上做一个转发设置，也就是端口映射设置，让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。这就是端口映射。由于各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置(BitComet中常见问题)端口映射。
其实做端口映射设置很简单，例如要映射一台内网IP地址为192.168.0.66的WEB服务器，只需把WEB服务器的IP地址192.168.0.66和TCP端口80填入到路由器的端口映射表中就OK了。
关于打开端口映射后的安全问题：
设置了端口映射后，互联网用户能够通过设置好映射的端口，跳过路由器防火墙访问到你的服务器，在通过攻击你服务器上的漏洞控制你的主机，所以打开端口映射后有必要在你的服务器上再挂一个防火墙也确保安全性。
花生壳是一套完全免费的动态域名解析服务客户端软件。当您安装并注册该项服务，无论您在任何地点、任何时间、使用任何线路，均可利用这一服务建立拥有固定域名和最大自主权的互联网主机。“花生壳”支持的线路包括普通电话线、ISDN、ADSL、有线电视网络、双绞线到户的宽带网和其它任何能够提供互联网真实IP的接入服务线路，而无论连接获得的IP属于动态还是静态。
用户每次上网得到新的动态分配的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他。这叫动态域名。
因为绝大部分Internet用户上网的时候分配到的IP地址都是动态的，用传统的静态域名解析方法，用户想把自己上网的计算机做成一个有固定域名的网站，是不可能的。而有了动态域名，这个美梦就可以成真。用户可以申请一个域名，利用动态域名解析服务，把域名与自己上网的计算机绑定在一起，这样就可以在家里或公司里搭建自己的网站，非常方便
端口映射（Port Mapping/Port Forwarding）有点类似服务重定向, 所以有些路由器(Router)中也称为虚拟服务器(Virtual Server)。为了描述方便, 下面的叙述中统一称为[端口映射]。 采用端口映射的方法，可以实现从Internet 到局域网内部机器的特定端口服务的访问。
端口映射的实现方式可以分为纯软件和软硬结合方式。以纯软件方式实现端口映射功能软件有很多, 比如, MS Windows9x/200/XP 下的PortTunnel 专门针对HTTP、FTP、SMTP 服务的端口映射，提供了较多的参数设置，在相应的标签菜单下调整。又如各种版本的Linux 操作系统本身就支持端口映射, 只需要网络管理员做相应的设置和调整即可实现。 而以软硬结合方式实现端口映射功能的, 主要常见于各种路由器(提供网关路由功能) 。
下面主要介绍各种路由器(Router)中如何实现端口映射
一般路由器中有个端口映射（Port Mapping）或者虚拟服务器(Virtual Server)的设置。用户需要在路由器(Router)的“管理界面”中相应的端口映射界面中, 设置好相应的需要映射的端口, 协议,内网地址等, 才能生效。设置的方法可能会因为路由器(Router)不同的品牌和型号，在设置的方法上也会有所不同。端口映射支持的网络协议有TCP/UDP/两者, 所以进行端口映射设置时, 如果不熟悉, 可以选择两者都支持。
以某路由器(Router)为例，在启用其路由功能之后，网络拓扑图如下：
这里假定路由器(Router)默认IP 内网地址为192.168.1.1，内网中电脑一般可以设置成为192.168.1.X（X=2~254），在内网中某一台电脑上打开IE，在地址栏输入http://192.168.1.1，输入初始用户名、密码，之后就可以看到设置界面了。
针对邮件服务器要做如下设置：进入“端口映射”，在端口填入 25, 协议中选择： TCP, IP地址： 192.168.1.x(x 为安装邮件服务器电脑的局域网IP 地址），同样方法设置110(pop3),6080(webmail)端口等。 以上假定用户内网段地址为: 192.168.1.0。设置好后, 就实现了端口映射功能了, 发往路由器的邮件就会自动转发到指定的内网主机上(192.168.1.x)。
同样, 如果想设置特殊端口, 比如: 6000。 在端口填入 6000, 协议中选择： ALL(或根据具体情况选择), IP 地址：192.168.1.x(x 为内网段地址 1~254)。 设置好后, 发往路由器6000 端口的任何数据就会自动转发到主机192.168.1.x 的端口6000 上了。
以上说明没有针对具体路由器。 具体情况, 请查阅您的路由器说明书，看看如何作端口映射。
理想源于责任，责任创造未来！已有77人收藏
查看: 10103|回复: 7
请问端口映射后,内网如何用公网地址访问内部服务器
自建了一个oa平台
对外做了端口映射
现在内网使用内网ip访问
外网使用公网ip访问
公司路由器的是h3c msr 20的
路由器上如何设置 都可以用公网ip访问
建立路由表? 还是....
精彩评论 7
打我手机，我指导一下你。
以WWW映射为例
acl nubmer 3100
rule 0 permit tcp source 192.168.1.0 0.0.0.255&&destination 192.168.1.80 0 destination-port eq www
interface vlan-interface 1
nat server protocol tcp global 1.1.1.1 8080 inside 192.168.1.80 www
nat outbound 3100
李总是不是这样做的。
NAT server 配置一下，用公网地址映射一下内网服务器就行了。
似乎以前论坛里有这个案例，找找看吧，对内要映射，对外也要映射。
本帖最后由 bottom 于
15:56 编辑
H3C 发表于
以WWW映射为例
acl nubmer 3100
rule 0 permit tcp source 192.168.1.0 0.0.0.255&&destination 192.168.1. ...
非常感谢 方法可用
看网上还有用DNS-mapping 的方案
没有成功.........
地址映射&&反向地址映射
扫描二维码，关注H3C微社区查看: 6535|回复: 17
有公网ip，如何访问内网的服务器
电信的10m光纤，准备驾个视频会议服务器，如何让外网访问内网的服务器呢？
动态域名？
vpn,安全简单。
DMZ区域...
nat......................
VPN...............
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
视频会议的服务器的话，VPN最好了，不对外公布的，安全一些。
公网机器建立vpn 内网机器去连接
现在的上网方式是光纤---路由器---交换机的，服务器只能接交换机
最简单的，NAT
要么VPN也行
有固定公网ip？
没有就需要动态域名的。
然后路由器打开端口作映射。
NAT，方便高效。
具体怎么操作呢，思科的路由器太复杂了
现在想到H3C的 就是简单好用哇 哈哈
1.如果只有1个公网IP，可以考虑DMZ的配置或者端口映射
2.如果有多个公网IP，可以考虑1对1NAT
在条件允许的情况下，最好不要使用NAT，这样会增加你服务器配置的复杂度
因为可能涉及到NAT穿越问题
楼上的简直乱说
NAT很好用 没有任何副作用
服务器端不需要配置}