内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障分析
问题描述
xyz单位对外发布的网站域名为www.xyz.com,在外网解析该域名对应的IP为200.1.1.3,xyz单位的需求是内网和Internet用户都能够通过该域名访问内网服务器11.1.1.2。请问在防火墙上需要做哪些配置,并且给出两种实现该需求的相关配置命令。
告警信息
无
处理过程
方法1:配置DNS nat alg
内网用户在使用域名访问内部服务器,在解析域名时,通过DNS nat alg将DNS解析答复报文中的公网IP转换成nat server对应的私网IP,这样内网用户通过域名访问的时候,实际上可以直接通过私网进行访问 在全局模式下配置,nat alg enable dns,该配置为默认配置方法2:在内网trust域内配置域内nat
##acl配置##
acl number 3002
rule 5 permit ip source 11.1.1.0 0.0.0.255
rule 10 deny ip
##nat address group配置##
nat address-group 9 11.1.1.1 11.1.1.1 **只要是转换成防火墙上的IP均可**
##域间规则配置##
firewall zone trust
nat 3002 address-group 9
内网用户在使用域名访问内部服务器,在解析域名时,通过DNS nat alg将DNS解析答复报文中的公网IP转换成nat server对应的私网IP,这样内网用户通过域名访问的时候,实际上可以直接通过私网进行访问 在全局模式下配置,nat alg enable dns,该配置为默认配置方法2:在内网trust域内配置域内nat
##acl配置##
acl number 3002
rule 5 permit ip source 11.1.1.0 0.0.0.255
rule 10 deny ip
##nat address group配置##
nat address-group 9 11.1.1.1 11.1.1.1 **只要是转换成防火墙上的IP均可**
##域间规则配置##
firewall zone trust
nat 3002 address-group 9
根因
理解防火墙处理流程进行分析
THE END
