我们在networking上放置了一个Web服务器,最近它从另一个子网中的testing环境移到另一个办公室。 现在我们有了服务器,我们可以通过它的内部IP访问它,但不能通过分配的外部IP访问它。 我不确定通常情况下应该如何操作,一旦允许端口80和443通过,并将外部IP映射到内部,您通常就可以正常运行。
我甚至竟然在运行server 2008的IIS服务器上禁用了防火墙。我可以通过HTTP和SSL在内部IP上访问站点。 pipe理员告诉我防火墙有适当的设置,但我没有足够的权限来确认。 我通常的逻辑告诉我,如果我可以在里面访问它,只要防火墙/路由器configuration正确,我应该能够访问外部networking。
这是服务器2008年,而不是R2。 我知道Windows 2008可以区分来自防火墙本地和外部networking的stream量,但我认为这将被禁用Windows防火墙绕过。 我的眼睛一直在去防火墙,但我想确保我不会错过任何东西。
除了我提到的,我还应该检查什么吗? 我很茫然
因此,您的问题似乎是您难以确定问题出在哪里 ,也就是说问题是否出现在从testing环境移动到另一个子网的新Web服务器上。
部分混乱是与术语。 您需要澄清一下,如果仅仅为了您自己的networking防火墙(可能使用基于您的标记的Checkpoint软件,但没有提到)和networking服务器上的Web服务器系统的Windows防火墙之间的完整性。
对于“外部IP”,我认为它是指可通过Internet访问的可路由IP地址,或者换句话说,不是RFC 1918 专用IP地址 。
在不知道networking拓扑结构的情况下,正如用户48838所说的那样,他很难说。
在启用Windows防火墙并logging拒绝或拒绝连接的情况下,如果您无法看到Web连接的拒绝/拒绝连接,或者事件查看器日志中的networking连接尝试失败,那么我认为这很可能是关于目标networking地址转换 (D-NAT或DNAT)将外部请求通过其内部IP转发到您的内部networking上的Web服务器。 其他转发外部IP地址的方法也许是可能的,但是DNAT是最常见的。
作为一个Unix怪胎,我通常会使用tcpdump来validation这一点。 因此,在服务器( WinDump , Ethereal或Wireshark )上启用任何基于主机的TCP监视来查看是否正在接收端口80(HTTP)或443的任何TCP连接尝试。tcpdump tcpdump "tcp port 80 or port 443"
当然,正如@ user48838所说,这可能是你的networking没有设置正确地重新转发内部请求到你的外部IP地址,这可能是一个问题,如果你试图从内部networking访问Web服务器。 如果这不是一个正常的问题,则需要修改testing程序,例如使用外部代理进行testing。
你没有提到任何代理服务器,我是否假设没有涉及到这个networking设置。
“分配的外部IP无法达到”
在networking上的哪个地方正在试图从这里? 内部还是外部? 如果在内部,你是否也尝试过外部点?
如果外部IP可以从外部访问,而不是内部访问,那么它可能是路由器的configuration/能够“循环”在内部 – 外部 – 内部之间交叉/转换的stream量。