0
点赞
收藏
分享

微信扫一扫

NAT环境下,用域名访问内网的服务器

落花时节又逢君to 2022-04-14 阅读 35
cisco路由器服务器运维

一、实验拓扑

二、DNS设置的几种组合

DNS客户端

客户端IP

DNS服务器

服务器IP

DNS服务器解析设置

win_client1

(内网段1客户端)

192.168.43.10

Server-W-D-F

(内网真实DNS服器)

192.168.43.20

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Server-W-D-F

(映射DNS服器)

202.1.1.10

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220

www.moco.com=202.1.1.20   

win_client2

(内网段2客户端)

192.168.10.10

Server-W-D-F

(映射DNS服器)

202.1.1.10

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220

www.moco.com=202.1.1.20   

Internet

(外网段客户端)

203.1.1.220

Server-W-D-F

(映射DNS服器)

202.1.1.10www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220www.moco.com=202.1.1.20   

 三、基本设置

设备

操作系统

IP地址

网关

开放服务/DNS

win_client1

win2008R2

192.168.43.10/24

192.168.43.254

Server-W-D-F

centos7

192.168.43.20/24

192.168.43.254

web(80)ftp(21)dns(53)

win_client2

win2008R2

192.168.10.10/24

192.168.10.254

W-DNS

win2008R2

204.1.1.220/24

204.1.1.1

dns(53)

Internet

win2008R2

203.1.1.220/24

203.1.1.1

204.1.1.220

L2_SW:

vIOS_R:

interface GigabitEthernet0/0

 ip address 192.168.43.254 255.255.255.0

 no ip redirects

 ip nat enable

interface GigabitEthernet0/1

 ip address 202.1.1.1 255.255.255.0

 ip nat enable

interface GigabitEthernet0/2

ip address 192.168.10.254 255.255.255.0

 ip nat enable

access-list 1 permit 192.168.43.0 0.0.0.255

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat source list 1 interface GigabitEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 202.1.1.254

Router:

interface Ethernet0/0

 ip address 202.1.1.254 255.255.255.0

interface Ethernet1/0

 ip address 203.1.1.1 255.255.255.0

interface Ethernet1/1

 ip address 204.1.1.1 255.255.255.0

 四、过程

1、组合❶

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----192.168.43.20

域名:www.moco.com------192.168.43.20

 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:192.168.43.20

B、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->win_client1:192.168.43.10

C、win_client1:192.168.43.10->192.168.43.20(www.moco.com)

 2、组合❷

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----192.168.43.20

域名:www.moco.com------202.1.1.20

 

 NAT设备上做映射:

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable

 A、win_client1:192.168.43.10(www.moco.com)->DNS:192.168.43.20

B、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

C、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

D、202.1.1.1->192.168.43.20(NAT和端口映射)

 3、组合❸

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----202.1.1.10

域名:www.moco.com------192.168.43.20

  NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20(NAT和端口映射)

C、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->192.168.43.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->192.168.43.20(www.moco.com)

 4、组合❹

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----202.1.1.10

域名:www.moco.com------202.1.1.20

  NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

  NAT设备上做映射: 

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20(NAT和端口映射)

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  5、组合❺

客户端:win_client1---------192.168.43.10

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

 

 

  NAT设备上做映射:  

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:204.1.1.220

B、202.1.1.1(www.moco.com)->DNS:204.1.1.220

C、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  6、组合❻

客户端:win_client2---------192.168.10.10

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------192.168.43.20

NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->192.168.43.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->192.168.43.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  7、组合❼

客户端:win_client2---------192.168.10.10

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

NAT设备上做映射:  

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射) 

  8、组合❽

客户端:win_client2---------192.168.10.10

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

NAT设备上做映射:   

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:204.1.1.220

B、202.1.1.1(www.moco.com)->DNS:204.1.1.220

C、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射) 

9、组合❾

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

 NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 NAT设备上做映射: 

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable  

 A、Internet:203.1.1.220(www.moco.com)->DNS:202.1.1.10

B、Internet:203.1.1.220(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

E、Internet:203.1.1.220->202.1.1.20(www.moco.com)

F、Internet:203.1.1.220->192.168.43.20(端口映射) 

  10、组合❿

客户端:Internet---------------203.1.1.220

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

 

 NAT设备上做映射: 

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable  

 

 A、Internet:203.1.1.220(www.moco.com)->DNS:204.1.1.220

B、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

C、Internet:203.1.1.220->202.1.1.20(www.moco.com)

D、Internet:203.1.1.220->192.168.43.20(端口映射) 

 五、对比

 六、建议和优化

没有特殊要求的情况下,内网无需架设DNS服务器,使用公网的DNS服务器即可。

即便内网架设有DNS服务器,也不要将其映射到公网,然后客户端使用公网映射地址作为DNS服务器地址。

七、关于DNS rewtire:

假设公网DNS服务器解析如下:

www.moco.com->202.1.1.20

ftp.moco.com->202.1.1.30

xyz.moco.com->202.1.1.40

内网三台服务器IP地址分别为:

www.moco.com=192.168.43.20

ftp.moco.com=192.168.43..30

xyz.moco.com=192.168.43.40

内网客户端DNS设置成公网DNS服务器地址,域名解析返回给NAT设备的都是公网地址。为了让NAT设备将解析结果rewrite成内网私有地址,需要满足有以下条件:

1、开启DNS ALG(默认已开启)

2、静态一一映射

ip nat source static 192.168.43.20 202.1.1.20

ip nat source static 192.168.43.30 202.1.1.30

ip nat source static 192.168.43.40 202.1.1.40

客户端配置:

 

DNS服务器配置:

 

NAT设备配置:

 ip nat source static 192.168.43.20 202.1.1.20
ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40

验证:

DNS服务器端:

 DNS客户端:

 

改造1: 将静态一一映射改为端口映射

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable

客户端获取的域名www.moco.com的ip地址为公网IP,没有被改写成内网地址。其他域名对应的地址不变,均为内网IP地址。

改造2:关闭DNS rewrite

NAT设备上添加以下配置

no ip nat service alg udp dns

八、内网DNS服务器对外提供DNS解析服务-组合❾改造

组合9:

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

 NAT设备上做映射: 

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

改造:

假设DNS服务器域名解析出来的都是内网地址,如何将此内部地址转换成公网地址后返回给外网的客户端 

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------192.168.43.30

域名:ftp.moco.com------192.168.43.40

域名:xyz.moco.com------192.168.43.50

尝试1:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable

ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40
ip nat source static 192.168.43.50 202.1.1.50

结果:解析失败

尝试2:

ip nat source static 192.168.43.20 202.1.1.20------------DNS服务器
ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40
ip nat source static 192.168.43.50 202.1.1.50

 

DNS服务器本身解析出来的地址 

 

 

内网地址全部被改写成公网地址

DNS服务器响应的203.1.1.220的解析请求,解析结果全是内网地址。

举报

相关推荐

通过动态NAT实现内网访问外网,通过静态NAT实现外网访问内网的WEB服务器

NAT外网内网ide编程语言

外网用户通过域名访问内网服务器配置

DNSSNATDNAT运维

NAT端口映射,实现外网访问内网服务器

mysqlkafka服务器

外网用户通过NAT设备访问内网服务器解决方案

IPNAT服务器物联网

外网访问内网FTP服务器

服务器

ubuntu 配置NAT配置内网网关服务器

kubernetes容器云原生

什么是外网访问内网?外网如何访问服务器?

服务器内网外网访问网络安全

查看及关闭正在访问内网服务器的电脑

windowsIP数据服务器Python后端开发

公司内网开发服务器不可访问事故处理

内网端口转发服务器Linux系统/运维

运维-[frp配置内网服务器访问外网]

服务器运维
0 条评论