情景描述:
outside口对外有一段公网地址,dmz口下发布一个对外的应用,不局限于web。inside口内部有电脑通过nat方式访问外网。现在发现通过外部公网可以正常访问dmz口下的应用,但是inside口却无法访问dmz口下的应用。
解决办法:
1、将inside口的ip地址nat出公网,允许访问外部网络;
global (outside) 1 interface
nat(inside)1 192.168.99.100 255.255.255.255
2、配置access-list,允许外部网络访问dmz口发布的公网ip
access-list 101 permit tcp any host 121.8.210.b eq www
3、配置dmz口和outside口的映射
static (dmz,outside) 121.8.210.b 192.168.191.112 netmask 255.255.255.255 dns
这里dns是关键,如果不配置dns将导致inside口无法访问dmz口下的服务器。后面可以带上0 0表示连接数没有限制。
4、将acl应用在outside口上
access-group 101 in interface outside
5、配置允许inside和outside访问dmz口内部
access-list acl_dmz extended permit ip any any
access-group acl_dmz in interface dmz
验证:
inside内部电脑通过公网dns解析的dmz口的服务器对应的外部域名的ip地址是dmz口段地址,而非外部公网映射的ip。
inside口192.168.99.100解析
[root@PY-proxy1 ~]# ping registration.clifford-school.org.cn
PING registration.clifford-school.org.cn (192.168.191.112) 56(84) bytes of data
外部公网电脑解析
C:\Documents and Settings\Administrator>ping registration.clifford-school.org.cn
Pinging registration.clifford-school.org.cn [121.8.210.b] with 32 bytes of dat
a:
阅读(2119) | 评论(0) | 转发(0) |
