我有一个疑问,某件事是否默认是“可能的”或者是否需要额外的设置。
假设我有两个系统位于防火墙后面,它们位于同一个域和子网中。系统 1 的 IP 为 10.1.1.2,并且安装了 IIS(即监听端口 80)。另一个系统只是一个具有出站互联网流量的普通系统。
系统 2(出站流量系统)是否应该能够访问外部 IP 并将其重定向到运行 IIS 的服务器,而无需修改任何主机文件或 NAT 设置?
以下是我正在讨论的拓扑结构:
10.1.1.1 处的计算机系统是否应该能够访问(直接使用 IP 或通过注册的 DNS,如 my.domain.com)外部 IP (69.1.1.1:80) 并将其“解析”/重定向到位于 10.1.1.2 的内部服务器?
答案1
这是一个众所周知的问题。当您的内部客户端访问外部 IP 地址时,dumb-NAT 会将该数据包转发到服务器。它看起来有点像这样:
10.1.1.2 -> 69.1.1.1:80
此时,哑 NAT 将重写数据包,因此内部服务器会看到:
10.1.1.2 -> 10.1.1.1:80
所以它会回复:
10.1.1.2:80 -> 10.1.1.1
不幸的是,10.1.1.2 期望来自 69.1.1.1 而不是 10.1.1.1 的回复,因此它只是丢弃了数据包,并且连接永远无法完成。
有几种方法可以处理这种情况,一些 NAT 网关可以智能地做到这一点。大多数家用路由器/防火墙都不能。但它所做的术语是来源-NAT,其中重写源地址而不是目标地址。
答案2
如果这是一个纯粹的防火墙,那么你可能会遇到问题,但实际上大多数防火墙在某种程度上都会充当有限的路由器,所以是的,这应该可以正常工作。它肯定适用于我使用过的所有防火墙/路由器。你知道你的 FW 是什么吗?
答案3
这是对这个问题的很好的解释,在等效上下文中给出。解决方案是配置 MikroTik 页面所称的“发夹 NAT”。我还在 pfSense 和 m0n0wall 的上下文中看到了称为“NAT 反射”的技术。