知

某高校M9000 V5防火墙内网通过公网IP访问服务器的典型案例

2015-09-12 发表

0关注
1收藏 1514浏览

陶乐

陶乐段

粉丝：人关注：人

一、组网图

二、问题描述

外网用户可以通过域名或者60.21.206.169访问WEB服务器。

内网用户10.50.200.43无法通过60.21.206.169访问WEB服务器。可以通过210.30.187.2访问。

三、问题分析如下

数据交互流程为：

1、10.50.200.43发起连接，TCP syn(S=10.50.200.43,D=60.21.206.169)

2、nat static 210.30.187.2 60.21.206.169

3、TCP syn(S=10.50.200.43,D=210.30.187.2)

4、TCP syn ack（S=210.30.187.2,D=10.50.200.43）

如此，内网PC就会把此次会话认为是非法。PC访问60.21.206.169，回来确认的确是210.30.187.2.这样PC就无法访问网站了。

究其原因：

由于内网服务器IP与用户PC同在S7506E网关下，内网服务器返回的数据不会经过防火墙就回到了PC。

改造思路：

1、更改服务器的网关在防火墙上，但此种方式会改变网络结构，暂不采用，但也可以作为一种解决方案。

2、通过防火墙转译内网PC用户的IP

此种方式就需要在内网PC IP数据包回到内网服务器之前改写，因此我们可以在内网接口上下手。

M9000内网接口IP为3.3.3.3，我们可以在数据从北至南的方向开始改写：

acl number 3011

description 从内网IP访问公网IP需要转译为接口地址

rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 210.30.187.2 0

interface Vlan-interface110

description trust-内联口

ip address 3.3.3.3 255.255.255.0

nat outbound 3011

同样在内网也要发布服务器

interface Vlan-interface110

nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www

此时数据流向为：

1、10.50.200.43发起连接，TCP syn(S=10.50.200.43,D=60.21.206.169)

2、nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www

3、TCP syn(S=10.50.200.43,D=210.30.187.2)

4、nat outbound 3011

5、TCP syn(S=3.3.3.3,D=210.30.187.2) 由于数据流匹配acl 3011源在此改写

6、TCP syn ack(S=210.30.187.2,D=3.3.3.3)

7、nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www

8、TCP syn ack(S=60.21.206.169,D=3.3.3.3)

9、nat outbound 3011最后 3.3.3.3--->10.50.200.43

8、如此TCP syn ack变为(S=60.21.206.169,D=10.50.100.43)

如此TCP握手便正常回来了。

如下为M9000上Session

dis session table source-ip 10.50.100.43 destination-ip

60.21.206.169 ver

Initiator:

Source IP/Port : 10.50.100.43/53357

Dest IP/Port : 60.21.206.169/80

VPN-Instance/VLAN ID/VLL ID:

Responder:

Source IP/Port : 210.30.187.2/80

Dest IP/Port : 3.3.3.3/41458

VPN-Instance/VLAN ID/VLL ID:

Pro: TCP(6) App: HTTP State: TCP-EST

Start time: 2014-02-24 11:30:53 TTL: 3584s

Root Zone(in): Trust

Zone(out): Trust

Received packet(s)(Init): 10 packet(s) 1363 byte(s)

Received packet(s)(Reply): 9 packet(s) 8892 byte(s)

四、解决方法

需要在内网接口做相应的配置：

1、建立ACL用于匹配内网IP到内网服务器IP的访问流。

2、在内网接口应用NAT将上述ACL转译成内网接口IP访问内部服务器。

3、在内网接口作nat server outbound。

配置脚本如下：

acl number 3011 //ACL匹配数据流

rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 210.30.187.2 0

interface Vlan-interface110 //内网三层接口

ip address 3.3.3.3 255.255.255.0

nat outbound 3011 //将acl 3011流量转译成接口地址

nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www //发布服务器端口

若您有关于案例的建议，请反馈：

作者在2019-06-11对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

某高校M9000 V5防火墙内网通过公网IP访问服务器的典型案例

编辑评论

提出建议