防火墙f1000-c-g内部用户通过域名访问内部服务器的问题
- 1关注
- 1收藏,1045浏览
问题描述:
f1000-c-g防火墙 内部用户怎么通过域名访问内部的服务器(域名解析为内部的一台服务器),也就是怎么避免内部请求的域名访问,通过防火墙外口,然后又进入防火墙外口绕了一圈
- 2019-04-11提问
- 举报
-
(0)
最佳答案
【使用指导】
NAT的DNS mapping功能需要和内部服务器配合使用,主要应用于DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的nat server配置),内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
设备可支持配置多条域名到内部服务器的映射。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为***.***,对外的IP地址为202.112.0.1,服务端口号为12345。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain ***.*** protocol tcp ip 202.112.0.1 port 12345
- 2019-04-11回答
- 评论(2)
- 举报
-
(0)
f1000-c-g (serverIP:1.1.1.2->172.16.10.254)
nginx 172.16.10.254
server1:172.16.10.1 server2:172.16.10.2 client: 172.16.10.200
nat dns-map domain www.server.xx.xx protocol tcp ip 1.1.1.2 port 443
在client上 telnet www.server.xx.xx 443 还是不行的, 还需要其他的配置吗(目前client是可以上网的)
在客户端 telnet 172.16.10.254 443是可以的,也就是说配置的nat dns-map没有生效???
已经搞定了
此dns-map是依赖于dns alg功能的,首先要打开alg dns才可以
- 2019-04-11回答
- 评论(1)
- 举报
-
(0)
好的,是的要打开,搞定就行
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
还需要其他的配置吗(目前client是可以上网的)
f1000-c-g (serverIP:1.1.1.2->172.16.10.254) nginx 172.16.10.254 server1:172.16.10.1 server2:172.16.10.2 client: 172.16.10.200 nat dns-map domain www.server.xx.xx protocol tcp ip 1.1.1.2 port 443 在client上 telnet www.server.xx.xx 443 还是不行的, 还需要其他的配置吗(目前client是可以上网的) 在客户端 telnet 172.16.10.254 443是可以的,也就是说配置的nat dns-map没有生效???