服务器 Gind.cn
  1. 服务器 Gind.cn
  3. (Zywall USG 300)在访问内部服务器时绕过NAT从LAN通过域名
Intereting Posts
TCP / IP-究竟是什么? 负载均衡iptables 什么可能是一个好的configurationtesting机器? 分区不断填满,不知道为什么 mysql客户端无法在命令行上启动 切换iSCSI的冗余 如何将端口从内部接口转发到本地networking中的虚拟机? 禁用特定目录的error.log syslog-ng和nginxlogin到mysql 如何守护一个shell任务? IPTables只允许本地主机访问 让我们encryption证书导入后Jetty崩溃 瞻博SSG 5 VPN 轻量级版本控制,用于将configuration文件从testing服务器复制到生产服务器 戴尔PowerEdge 750 BIOS更新导致Ubuntu 12.04中的黑屏

(Zywall USG 300)在访问内部服务器时绕过NAT从LAN通过域名

我的情况就是这样 我从我们的联合networking解决scheme中托pipe了许多网站。 在networking上基本上是3类:

  1. 已知的公共,通过mac注册,给予静态dhcp租约
  2. 匿名局域网连接,从特定的DHCP范围租用
  3. 交换机,unix主机防火墙

现在,请考虑以下感兴趣的主机

  1. 111.111.111.111(Zywall USG 300 WAN)
  2. 192.168.1.1(ZyWall USG 300 LAN)负载均衡和bw监视器加处理NAT
  3. 192.168.1.2(Linux www)提供mydomain1.tld和mydomain2.tld
  4. 192.168.123.123(随机局域网客户端)从局域网访问mydomain1.tld
  5. 23.234.12.253(随机外部客户端)通过WAN访问mydomain1.tld

DNS Alogging被设置,以便mydomain1.tld和mydomain2.tld指向111.111.111.111 – 并且Linux www服务于具有VirtualHostconfiguration的http部分,设置文档根目录pr ServerName,虽然没有那么有趣。

NAT规则将111.111.111.111:80转换为192.168.1.2:80(1:1 NAT),如下所示:

  • types:虚拟服务器
  • 接口:WAN
  • 原始IP:任何
  • 映射IP:192.168.1.2
  • 原始端口:80
  • 映射端口:80

当NAT-Loopback被激活时,它会导致设备无法从外部接口(尽pipe尝试过,如果它使LAN – > WAN IP:80工作)

我们的问题如下。

当从外部访问http://mydomain1.tld时(23.234.12.253示例主机)联合networking – 一切正常,zywall通过端口80接收请求并将其映射到Linux主机'httpd。 但是,一旦尝试从LAN侧(内部192.168.123.123示例主机)通过NAT,则会在Zywall端口80防火墙中进行过滤。

我知道这只是因为端口443是开放的pipe理界面和https://mydomain1.tld提示zywalllogin。

所以我的结论是,访问111.111.111.111的LAN实际上被路由到192.168.1.1而绕过NAT表。

我需要知道如何设置NAT /策略路由,以便LAN> WAN> LAN将运行正确的networking转换,而不是执行“快速名称服务器查找”或任何可能的。

解决scheme最终成为内部DNS查找表的维护(很像/ etc / hosts文件),我把它放在mydomainX.tld中,并将其映射到它们合适的IP地址。想要解决这个问题,但是有一个赏金对于允许LAN – > WAN IP:PORT通过NAT表的答案

所以我自己就这样挣扎着想出答案。 为了使这个工作使用标准的NAT规则(正在使世界访问网站的规则相同),只需调整规则,使原始IP是WAN IP。 然后你可以启用NAT环回,一切工作正常。

让我知道你是否有更多的问题。