У меня есть сервер со статическим NAT, использующий зарегистрированный IP-адрес, и он доступен извне. Проблема в том, что я не могу получить доступ к своему серверу изнутри, используя зарегистрированный IP-адрес с хост-компьютером, который подключен к той же локальной сети, что и мой сервер.
Я попытался отключить ACL и CBAC, я также попытался создать несколько карт маршрутов, но я никак не могу заставить их работать.
Я новичок в Cisco, и теперь я начинаю думать, что, возможно, это желаемое поведение, поэтому мне нужно знать, возможно ли это, но также плохая идея подключаться из той же локальной сети на моем сервере с NAT, используя публичный адресс.
Спасибо.
P.S. У меня нет проблем с подключением к серверу, используя его частный адрес.
Помните, что когда ваш брандмауэр / маршрутизатор / что-то еще выполняет NAT, внутренний ящик с общедоступным IP-адресом, подключенным к нему ничего не знает о NAT-адресе.
Итак, чтобы это работало, ваш пакет должен покинуть вашу внутреннюю локальную сеть, выйти во внешнюю сеть, затем вернуться через брандмауэр / маршрутизатор / все, что делает NAT, и, наконец, быть передан во внутренний ящик ( который, опять же, вообще ничего не знает о NAT).
Возможны некоторые обходные пути (см. Cisco alias
команда, если вы используете Cisco), но в целом это не то, что вам нужно.
Вот почему большинство сетей, содержащих внутренние узлы и доступные извне (общедоступные) узлы, будут поддерживать отдельные DNS-серверы для внутренних и внешних узлов. Вы можете настроить внешний DNS-сервер так, чтобы www.example.com указывал на ваш внешний IP-адрес, и настроить внутренний DNS-сервер так, чтобы www.example.com указывал на ваш внутренний IP-адрес. Если вы используете BIND, тогда views
сделать это довольно просто.
Вам нужно будет использовать команду "alias", чтобы это сработало.
Видеть: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aee.shtml
NB!: ASDM делает не поддержите эту команду, вы должны сделать это через CLI.
Этот ответ яснее, почему это не работает.
Это стандартное поведение. Межсетевой экран понимает, что преобразование сетевых адресов осуществляется ЧЕРЕЗ сетевые интерфейсы и обычно настраивается в зависимости от направления трафика. IOW, межсетевой экран настроен на перевод ВХОДЯЩЕГО трафика на адрес, полученный на ВНЕШНЕМ интерфейсе, и отправку его вместе.
Пауска принято к сведению один из способов сделать это, если потребуется. Здесь мы осуществляем доступ по имени, и внутренний DNS предоставляет внутренний адрес сервера, а внешний DNS предоставляет внешний адрес.