我有一台 Cisco RV325 路由器。我无法远程登录到 DMZ 端口上的服务器的端口 80。
为什么我无法 telnet 到端口 80?
这是我所做的:
- 将 IIS 服务器连接到 DMZ 端口
- 该服务器的内部静态 IP 为 192.168.3.70
- 关闭 Windows 防火墙
- 将其他 LAN 计算机连接到 LAN 端口
- 这些计算机位于 192.168.3.X 子网
为 WAN1 分配一个外部静态 IP,为 DMZ 分配第二个外部 IP
添加访问规则以允许 HTTP 和 HTTPS,并拒绝 DMZ 端口上的所有其他流量。
据思科称:
请记住,访问规则是有序的。也就是说,当设备将数据包与规则进行比较时,它会从上到下搜索并应用与其匹配的第一条规则的策略,并忽略所有后续规则
注意:没有优先级的访问规则是路由器默认创建的访问规则。
然后我尝试从外部计算机(网络外的计算机)telnet 到分配给 DMZ 的外部 IP 的端口 80,但失败了。为了保险起见,我还尝试 telnet 到端口 21,但同样失败了。
但路由器日志显示:
我不明白为什么我看到 21 端口上的 telnet 尝试被允许。而且我不明白为什么 80 端口上的 telnet 不起作用。
最后,我只想能够 telnet 到端口 80。
答案1
我最终通过拼凑来自另外两个来源的信息弄清楚了这一点。
第一的,Sleeman 的帖子在这里状态:
假设您的 ISP 为您提供 aaa.bbb.ccc.192 - 195,子网为 255.255.255.252。
这意味着该范围内的所有 IP 都具有相同的子网并且...
.192 是“网络”地址。.193 是“网关”地址 **这是您在 RV042 的“设置”页面中使用的地址。.194 是 仅有的DMZ 中可用的公共 IP。.195 是“广播”地址。
如果您获得一个具有 .192 网络的 .248 块,那么您最终会在 DMZ 中获得 5 个可用的 IP(您需要通过交换机运行 DMZ 端口才能使用超过 1 个 IP)。
这让我意识到我为 DMZ 端口分配了错误的外部 IP 地址。我的 ISP 分配了地址 xxx17 - 22,子网为 255.255.255.248。我已将 xxx17 分配给 DMZ 端口,将 xxx18 分配给 WAN1 端口。
上面的评论中指出了该问题的症状:WAN1 访问规则显示 RANGE 作为目标。
因此我将 DMZ 端口配置更改为使用 xxx20。由于 IP 地址和 WAN1 的 IP 地址位于同一子网,因此我还将 DMZ 端口从“子网”更改为“范围”。
解决方案的第二部分是 IIS 服务器本身的 IP 地址配置。我读到此解决方案对于 RV 系列中的另一款路由器,其内容为:
然后,在服务器上输入它的 IP 地址(上面输入的公共地址),对于子网掩码,您将使用数据中心提供给您的地址...对于网关,您将输入数据中心提供给您的相同 IP。
因此我将 IIS 服务器上的 IP 地址更改为 xxx20,并将网关设置为我的 ISP 分配的网关(这也是 WAN1 的相同网关)。
这有效。我现在可以从外部远程登录到端口 80。