防火墙内的服务器无法访问防火墙自身除telnet、22端口以外的端口,例如:
服务器1 IP:10.81.2.11
防火墙企业内网IP:172.16.30.60
服务器1上8000部署了网站,并将8000端口映射至防火墙企业内网接口的8000端口,现在从企业内网中其他设备访问http://172.16.30.60:8000都是正常的。
但在防火墙内的服务器上无法访问网站,测试后,发现只有telnet、22端口能通。目前telnet其他端口都显示trying,过会儿连接失败。
测试:
我在防火墙管理平台中增加了一条策略,从两个server到local的,增加后还是不行,不过telnet会立即显示【telnet: Unable to connect to remote host: Connection refused】。
本人不是专业网关,描述的多有不当,求解答。
(0)
最佳答案
开一下nat hairpin功能
W的内网口要开启nat hairpin enable,此命令是为了实现内网终端通过公网地址访问内网服务器
interface GigabitEthernet ****
nat hairpin enable
(0)
我给内外网接口都设置了该选项,但是内网服务器依然无法连接防火墙的各个端口
防火墙安全策略开一下
安全策略里增加了一条从server1、sever2到local的允许策略,然后hairpin也开启了,还是访问不了
您好,请知:
如果是内网终端使用外网地址访问内部映射出去的服务器,需要在内网接口开启nat hairpin功能,参考命令如下:
int gi 1/0/1
nat hairpin enable
quit
另外进一步确认防火墙的安全策略是否放通了。
如果不支持nat hairpin,可考虑使用双向NAT来实现。
(0)
我在内网接口开启了hairpin,也做了内网到local的策略放行,还是不行。型号是F1000-AI-10
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的,正常服务器应该用内网ip直接访问内网的服务,但是因为业务系统需要,希望能在内网中访问访问防火墙的某个端口(该端口映射了内网某台服务器的端口),相当于绕一圈,但是就是访问不了
你没有允许环回地址访问(意思就是内网通过防火墙访问服务器进行了环回)
这种的话 其实一般用域名配置该服务器 效果比较好 使用防火墙的ip 也是可以 没这么快而已
是那个nat hairpin吗?我在外网接口、内网接口都开启了,同时策略也放行了,但是还是不通。域名的话,企业内网(防火墙的外网)是有DNS服务器的,通过对应域名访问也是拒绝,和ip一样的情况
是这个nat hairpin 但是还需要配置一下回流 acl与nat 使映射出去的地址 内网可以访问
ACL需要怎么配置呢?NAT映射是有的,现有内网端口已经映射到了外网端口上