以下是我所拥有的:
Mydomain.com 的 A 记录到我的公共 IP。
Org.Mydomain.com CNAME 指向同一个 IP。
DefaultWebSite 在 IIS 中绑定到 * IP 地址,并具有默认的 iisstart.htm 页面。
Org.mydomain.com(IIS 中的站点)绑定到 IIS 中的 192.119.1.250,并且具有与修改后的默认 iisstart.htm 页面的主机绑定。
到目前为止,这运行完美,并指向每个公共站点的 iisstart.htm。
当我添加一个名为 intranet 的新站点并将该站点的默认文档设置为 portal.aspx 时,出现了问题。我将“Intranet”站点绑定到 192.119.1.250,并将主机名绑定到“intranet”。
添加 Intranet 站点后,mydomain.com 将带我进入“intranet”站点中的 portal.aspx,而不是 wwwroot“默认网站”中的 iisstart.htm。
我尝试将“intranet”设置为拒绝匿名用户,并且确实如此,但是默认站点被重定向的问题仍然存在。
有没有办法设置,以便从我的 LAN 可以访问内联网,但不能从 www 访问?我知道我可以将站点绑定到未在外部映射的另一个 IP,然后从该 IP 进入,而不是从绑定到我的外部静态 IP 的 IP 进入,但这似乎有点不合时宜和笨拙。
我还没有在 LAN 端配置 DNS 或设置 AD,因为我预计在规划好服务器环境后会清除服务器并重置。我需要在某个时候执行此操作,以便 DNS 具有“internet”的主机记录。目前,我正在本地 HOSTS 文件中执行此操作。
答案1
我假设您在此特定框中使用了多个 IP 地址。限制外部流量访问站点的唯一方法是以不同的方式物理路由该流量。如果您的绑定如下所示:
- *:80 -> 默认
- 192.119.1.250:80 -> 内网
然后,任何对您的内联网站点的请求在技术上仍然与默认站点匹配。如果您使用单个 IP 地址来处理所有传入流量,则该 IP 地址应与您希望仅供内部访问的任何流量不同,否则无法阻止防火墙外的用户访问它。
我会将其设置得更像这样:
- 192.119.1.250:80 -> 默认
- 192.119.1.251:80 -> 内网
然后在您的路由器上仅允许端口 80 流量路由到第一个 IP,这样可以完全消除任何潜在的交叉污染。这样更干净,而且绝不是黑客行为,大多数网站都是这样设置的。