内网用户通过公网IP地址访问内部服务器

内网用户通过公网IP地址访问内部服务器

案例：

web服务器10.10.10.10在防火墙做目的地址映射，映射的公网ip为111.111.111.111。内网用户无法通过111.111.111.111访问web服务器。

分析：

假如内网用户10.10.10.2 通过111.111.111.111访问web服务器。10.10.10.2的源端口是10000，目标端口是80。数据包分析如下：

10.10.10.2:10000------>111.111.111.111:80

数据包路由到防火墙上，防火墙检查目的地址，匹配NAT策略，把目的地址修改为对10.10.10.10的访问，建立ip地址转换的NAT会话表：

10.10.10.2:10000------>10.10.10.10:80

数据包被转发到10.10.10.10服务器上并响应10.10.10.2主机的请求，响应数据包把上述访问的源目ip地址及端口对调：

10.10.10.10:80------>10.10.10.2:10000

防火墙发现目的ip10.10.10.2在路由表是直连地址，会把数据包直接路由到主机10.10.10.2上，主机接收到数据包，检查数据包的源ip和端口是10.10.10.2：80，而其并没有这样一个会话与之相匹配，即主机并没有发起对10.10.10.2：80的访问，实际发起的是对111.111.111.111:80的访问，主机就会丢弃这个数据包。所以导致内网无法通过公网地址访问。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。