Вот что у меня есть:
Mydomain.com записывает A на мой публичный IP.
CNAME Org.Mydomain.com указывает на тот же IP-адрес.
DefaultWebSite привязан к * IP-адресам в IIS и имеет страницу iisstart.htm по умолчанию.
Org.mydomain.com (сайт в IIS) привязан к 192.119.1.250 в IIS и имеет привязку хоста с измененной страницей iisstart.htm по умолчанию.
Пока это работает отлично и указывает на iisstart.htm для каждого общедоступного сайта.
Проблема возникает, когда я добавляю новый сайт под названием интрасеть и устанавливаю документ этого сайта по умолчанию на portal.aspx. У меня есть сайт «Интранет», привязанный к 192.119.1.250 с именем хоста, привязанным к «интрасети».
После добавления сайта в интрасети mydomain.com переводит меня на portal.aspx на сайте «интрасети» вместо iisstart.htm на wwwroot «веб-сайте по умолчанию».
Я попытался установить для "интрасети" ОТКАЗАТЬ анонимным пользователям, и это произошло, однако проблема с перенаправлением сайта по умолчанию все еще существует.
Есть ли способ настроить это так, чтобы интрасеть была доступна из моей локальной сети, но не через www? Я знаю, что могу привязать сайт к другому IP-адресу, который не отображается извне, и входить с этого IP-адреса вместо IP-адреса, привязанного к моему внешнему статическому IP-адресу, но это кажется довольно хакерским и беспорядочным.
Я также не настроил DNS на стороне LAN или не настроил AD, поскольку я ожидал стереть сервер и сбросить его после того, как я определил, какой будет среда сервера. Мне нужно будет сделать это в какой-то момент, чтобы DNS имела запись хоста для "Интернета". На данный момент делаю это в локальном файле HOSTS.
Я предполагаю, что в этом конкретном окне используется несколько IP-адресов. Единственный способ ограничить доступ внешнего трафика к сайту - это физически направить этот трафик по-другому. Если привязки выглядят так:
Тогда любой запрос к вашему сайту интрасети технически также будет соответствовать сайту по умолчанию. Если вы используете один IP-адрес для обработки всего входящего трафика, это должен быть IP-адрес, отличный от любого трафика, к которому вы хотите получить доступ только для внутренних целей, в противном случае не существует способа предотвратить доступ к нему пользователей за пределами вашего брандмауэра.
Я бы настроил это примерно так:
А затем на вашем маршрутизаторе разрешите трафику порта 80 только маршрутизироваться на первый IP-адрес, это полностью исключает любое потенциальное перекрестное заражение. Он намного чище и никоим образом не является взломом, так настраивается большинство сайтов.