Chinaunix首页 | 论坛 | 博客

qsh

  • 博客访问: 4054844
  • 博文数量: 1015
  • 博客积分: 15904
  • 博客等级: 上将
  • 技术积分: 8572
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-04 19:16
文章分类

全部博文(1015)

文章存档

2019年(1)

2017年(1)

2016年(19)

2015年(27)

2014年(30)

2013年(95)

2012年(199)

2011年(72)

2010年(109)

2009年(166)

2008年(296)

分类: 网络与安全

2012-10-31 15:58:43

问题: 设置防火墙vpn和服务器,DMZ区服务器发布的问题,从互联网访问
inside或dmz的服务器都很正常,从inside可以上互联网,但就是不能通过互联

网域名访问inside和dmz的服务器。


方法一:通过dns后缀解决

static (inside,outside ) 220.0.0.1 192.168.0.2 netmask

255.255.255.255 dns
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside
其实就在静态影射命令的后面加了一个dns后缀 ,就能通过域名访问内部服务

器,其实原理很简单,因为我们的dns服务器在防火墙外面(或者说是电信解析

的),内部没有dns服务器,所以当我们通过域名访问内部网络的时候,首先通

过防火墙找到电信的dns服务器,
由外网的dns服务器解吸域名 为对应的公网地址220.0.0.1 这

个时候如果没加dns这个后缀。防火墙会认为这个web服务器就在防火墙的外面

,就后丢掉这个dns回复包,但加了这个dns后缀后会把这个公网地址重定向为

内网地址192.168.0.2 。然后内网用户就可以通过192.168.0.2这个地址访问

web服务器了。在内部测试ping 解析返回的是192.168.0.2这

个地址


方法二 通过别名alias 命令解决
static (inside,outside ) 220.0.0.1 192.168.0.2 netmask

255.255.255.255
access-list 100 extended permit tcp any host 220.0.0.1 eq 80
access-group 100 in interface ouside

alias (inside) 192.168.0.2 220.0.0.1 255.255.255.255
这个办法原理也和上面一样 只是实现方式不同,不在静态隐射
后面加dns后缀。在添加一条别名命令alias也可以把域名重新定向为内部地址

阅读(1545) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~