内部主机通过公网地址访问内网服务器配置案例

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

H3C路由器内网用户通过域名访问内网服务器方法最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。

最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP 可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。

一、组网需求：组网如图所示，内网中存在两台服务器分别对外提供www及ftp 服务，网关路由器公网接口上已下发nat server 配置。

DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：H3C SR6600路由器二、组网图：方案一：DNS-mapping 方案：在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。

当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时192.168.1.1，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

方案二：利用NAT 和NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址(202.38.1.1)去访问内网服务器。

通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用(原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变)。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

由于局域网一般是某一区域内互联的计算机组，也叫做内网。

很多人在建立网站的想要在两个不同局域网之间实现通信，给大家介绍一些简单的操作方法。

我们需要借助一台具有公网IP 的服务器进行牵线搭桥。

为了便于说明，先假设这里有两台位于不同局域网内的主机A 和主机B，以及一台具有公网IP 地址的服务器。

想在这两台主机间实现通信，具体的实现方法为：1）A 和B 分别连接到服务器，这时，服务器将它们的外网IP 和经过转换后的端口号（IP 地址和端口号合称套接字，下面就用套接字来代替）存储起来。

2）A 向服务器发送请求获取B 的套接字，再根据获取的信息发送数据包给B。

B 收到A 发来的数据包后，由于在它的数据结构中查询不到对应的记录，数据包将会被丢弃。

当然，B 此时完全接收不到A 发来的信息。

3）A 向服务器发送消息，告知服务器自己已经向B 发送了数据包。

于是，服务器开始向B 发送消息，通知它A 想和其建立连接，并将A 的套接字发给B。

此时，B 根据得到的A 的套接字，再向A 发送数据包。

由于A 事前已经向B 发送过数据包，在A 的数据结构中留存有记录，因此，A 将能够成功接收到B 的数据包。

4）A 接收到B 发来的数据包后，可以再向B 发送数据包。

同样，由于B 此前向A 发送过数据包，在B 的数据结构中留有记录，因此现在B 也能够成功接收A 发来的数据包了。

至此，不同局域网内的主机A 和主机B 就可以自由通信了。

如果是外网访问局域网的话，也可以配合网云穿内网穿透软件，然后再添加免费映射端口，并且配置映射端口的信息，配置信息启动隧道后，网云穿会自动生生一个映射地址，可以在wai网直接输入映射地址访问内网应用。

通过内网穿透，可以用域名进行对应的内网应用。

关于局域网穿透的操作方法给大家介绍这么多了，更多的信息我们会继续为大家分享。

ssh 使用新法：公网(合法 ip)用户访问内网(私有 ip)服务器[ZZ]Hwind @ 2005-12-01 09:31[ZZ]from ssh 使用新法：公网(合法 ip)用户访问内网(私有 ip)服务器(http,ftp,sshd,cvs...),内网的朋友不妨一看内网的朋友苦于没有合法 ip,不能对外提供 internet 服务。

解决方案很多，可以通过在网关做端口映射，或其他的辅助软件等。

本文介绍两种比较简单实用的方法，利用 ssh 这个强大的工具。

(以下方法不分平台，都适用)案例一、内网主机 A ,开了 http,ftp ,http ,vnc,sshd,socks5,cvs 等服务。

无合法 ip 地址。

外网主机 B ,开了 sshd 服务。

有合法 ip : 218.xxx.xxx.xxx我们的目的是让 B 能访问 A 上的各种服务。

步骤：1、A 知道 B ip 后，先用 ssh client 连上 B，命令如下：ssh -R 1234:localhost:21 -l root 218.xxx.xxx.xxx解释：关于 ssh 的参数，请看 ssh --help-L listen-port:host:port Forward local port to remote address-R listen-port:host:port Forward remote port to local address-L local (本地) -R ：remote (远程)-R 1234:localhost:21 其实做了个“端口转发(forward)"。

意思是主机 A 把本地的 21端口(对应ftp服务)映射为 B 的1234 端口(任意未被占用)，同时 A 监听 B 的1234 端口。

在 B 上用 netstat -al | grep 1234 ，你能看到这个监听连接。

任何发送到 B 1234 端口的请求将被传送到 A的 21 端口。

外网访问内网服务解决方案外网访问内网服务是指通过公共网络（如互联网）访问局域网或私有网络中的服务。

通常情况下，内网服务是不直接暴露在外网的，这是为了保护内网服务的安全性。

然而，有时候我们需要从外部访问内部的服务，这会带来一些挑战。

下面是一些常见的外网访问内网服务的解决方案。

1. VPN（Virtual Private Network，虚拟专用网络）： VPN可以为用户提供一个通过公共网络访问受限网络的安全通道。

用户可以在外部计算机上建立VPN连接，然后通过该连接访问内网服务。

VPN采用加密技术来保护数据的安全性，在访问内网服务时提供了一定的安全保障。

2. 端口映射（Port Forwarding）：端口映射是一种在公共网络和私有网络之间建立通信的方式。

通过将公共网络中的特定端口与内网中的服务端口进行映射，用户可以通过公共网络访问内网服务。

这需要在网络设备上进行配置，将公共网络的请求转发到对应的内网服务。

端口映射可以通过路由器、防火墙或者专用的映射软件来实现。

3. 反向代理（Reverse Proxy）：反向代理是一种通过在公共网络和内网之间建立代理服务器的方式来访问内网服务。

当用户通过公共网络请求访问特定的地址时，反向代理服务器接收到请求后会将请求转发到内网服务，并将内网服务的响应返回给用户。

反向代理可以配置访问控制和安全策略，提供更加安全的外网访问内网服务的方式。

4. SSH（Secure Shell）隧道： SSH隧道是通过SSH协议在公共网络和内网之间建立安全通道的一种方式。

用户可以在外部计算机上通过SSH协议建立连接，并通过隧道将公共网络的请求转发到内网服务。

SSH隧道可以通过端口映射或者动态端口转发进行配置，提供了一种安全且可靠的外网访问内网服务的方式。

5.使用云服务提供商的解决方案：云服务提供商通常提供一些工具和服务，可以帮助用户将内网服务暴露在公共网络上。

例如，一些云服务提供商提供了VPN网关，用户可以通过该网关将公共网络请求转发到内网服务；还有一些提供了负载均衡和反向代理的服务，用户可以将内网服务注册在云服务提供商的负载均衡器或者反向代理服务器上，实现外网访问内网服务。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。