networking问题
我有一个问题,是否默认情况下是“可能的”,或者需要额外的设置。
比方说,我有两个系统在防火墙后,他们在同一个域和子网。 系统1具有IP 10.1.1.2并且安装了IIS(也就是监听端口80)。 另一个系统只是一个正常的系统,有出站的互联网stream量。
系统2(出站stream量系统)是否能够击中外部IP并将其redirect到运行IIS的服务器,而无需修改任何主机文件或NAT设置?
这里是我正在采取的有关拓扑结构:
- 如何从主服务器find从服务器的IP地址和用户名?
- 在NAT后面设置多个服务器
- 设置不正确的mysql权限/主机后,无法login到mysql
- 使用主机名访问本地计算机
- “host”命令在包含名称服务器的域上返回NXDOMAIN
如果10.1.1.1的计算机系统能够(直接使用IP或者通过像my.domain.com这样的注册dns)将外部IP(69.1.1.1:80)命中并将其“parsing”/redirect到内部服务器位于10.1.1.2?
这是一个相当知名的问题。 当您的内部客户端访问外部IP地址时,dumb-NAT会将该数据包转发给服务器。 它看起来像这样:
10.1.1.2 -> 69.1.1.1:80 在这一点上,哑NAT将重写数据包,所以内部服务器看到:
10.1.1.2 -> 10.1.1.1:80
所以它会回复:
10.1.1.2:80 -> 10.1.1.1
不幸的是,10.1.1.2期待从69.1.1.1而不是10.1.1.1的回复,所以它只是丢弃数据包,连接永远不会完成。
有几种方法可以处理这个问题,一些NAT网关智能地完成这个任务。 大多数家庭路由器/防火墙不。 但是它所做的是Source -NAT,源地址被重写而不是目的地。
如果这是一个纯粹的防火墙,那么你可能会遇到问题,但实际上大多数防火墙将在一定程度上作为一个有限的路由器,所以是这应该只是工作。 它当然可以在我用过的所有防火墙/路由器上运行。 你知道你的FW是什么吗?
这是一个非常好的解释这个问题 ,在同等的上下文给出。 解决scheme是configurationMikroTik页面所称的“发夹式NAT”。 在pfSense和m0n0wall的背景下,我也看到了被称为“NATreflection”的技术。