当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 10 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 关于DMZ后的内网IP无法访问动态域名大致推理
帖子发表于 : 2007-01-14 0:57 
论坛管理员

注册: 2005-03-27 0:06
帖子: 10116
系统: Ubuntu 12.04
送出感谢: 7
接收感谢: 128
假设eexpree.3322.org 外网IP:2.2.2.2 内网IP:192.168.1.1 DMZ主机:192.168.1.2

1:从外网(1.1.1.1)访问 eexpree.3322.org

请求,并等待eexpree.3322.org的回应
1.1.1.1 --> eexpree.3322.org --> DNAT(192.168.1.2) --> 192.168.1.2
---IP(1.1.1.1/2.2.2.2)----------- IP(1.1.1.1/192.168.1.2)

客户端回应
192.168.1.2 --> eexpree.3322.org --> SNAT(eexpree.3322.org) --> 1.1.1.1
---IP(192.168.1.2/1.1.1.1)-------------IP(2.2.2.2/1.1.1.1)

外网将接受到正确的IP包,正常显示。

-----------------------------------

2:从内网(192.168.1.3)访问 eexpree.3322.org
内网请求,并等待eexpree.3322.org的回应
192.168.1.3 --> eexpree.3322.org --> DNAT(192.168.1.2) --> 192.168.1.2
---IP(192.168.1.3/2.2.2.2)------IP(192.168.1.3/192.168.1.2)

客户端回应
192.168.1.2 -> 192.168.1.3
--IP(192.168.1.2/192.168.1.3)

由于处于同一网段内,直接交换数据,而192.168.1.3一直等待来自2.2.2.2的回应,无法接收到正确的IP包,最后超时断开连接。

-----------------------------------

解决办法,修改防火墙规则:
内网请求
192.168.1.3 --> eexpree.3322.org --> SNAT(2.2.2.2) --> DNAT(192.168.1.2) --> 192.168.1.2
---IP(192.168.1.3/2.2.2.2)-----------IP(2.2.2.2/192.168.1.2)

客户端回应
192.168.1.2 --> 2.2.2.2 --> DNAT(192.168.1.3) --> 192.168.1.3
---IP(192.168.1.2/2.2.2.2)-----IP(2.2.2.2/192.168.1.3)

客户端将正常接收到来源eexpree.3322.org的包。

另外一种简单处理方法
直接在内网的DNS上或者在内网电脑的 /etc/hosts 修改 eexpree.3322.org -> 192.168.1.2 即可。


页首
 用户资料  
 
2 楼 
 文章标题 : 多谢oneleaf
帖子发表于 : 2007-01-14 1:28 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
记录。
$● grep 3322 /etc/hosts
192.168.18.3 eexpree.3322.org
#218.76.47.135 eexpree.3322.org

ping eexpree.3322.org
通了一次。


_________________
● 鸣学


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2007-01-14 20:38 
头像

注册: 2005-04-10 16:54
帖子: 2625
地址: 温州大学
送出感谢: 0 次
接收感谢: 1
一叶兄的解答应该没什么问题的呀!

要不你用下面命令看看查找的顺序
more /etc/host.conf


_________________
我心无畏,源自于我心无知。
图片


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2007-01-14 21:47 
头像

注册: 2005-05-19 18:38
帖子: 1991
地址: 湖南永州
送出感谢: 0 次
接收感谢: 1
我用DMZ,从外网能访问到我的电脑,

用我的电脑去访问,确打开的是我的猫的管理入口.

也是这个原因吧


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2007-01-15 10:29 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
代码:
$●  dog /etc/hosts
127.0.0.1 localhost exp-laptop
127.0.1.1 exp-laptop
192.168.18.3 eexpree.3322.org
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts


4楼的情况。我在公司就这样。


_________________
● 鸣学


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2007-01-15 10:31 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
代码:
$●  cat /etc/host.conf
order hosts,bind
multi on


_________________
● 鸣学


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2007-01-15 22:53 
头像

注册: 2005-04-10 16:54
帖子: 2625
地址: 温州大学
送出感谢: 0 次
接收感谢: 1
我觉得要满足Eexpress兄弟的要求,根本不需要用到DMZ区,要知道这只是个路由而不是防火墙,我的建议是192.168.1.2不设成DMZ主机,而是简单地做一下静态映射:对路由器任何一个或一段协议端口的访问(从WAN口进来的访问),将其重定位到局域网内192.168.1.2的端口上即可。如静态映射80端口等!


_________________
我心无畏,源自于我心无知。
图片


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2007-01-16 0:57 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
哦。多谢。只是端口不是要一个一个的映射了。谁叫我就知道DMZ呢。其他都不熟悉。我明天再问。


_________________
● 鸣学


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2007-01-17 21:50 
头像

注册: 2005-04-10 16:54
帖子: 2625
地址: 温州大学
送出感谢: 0 次
接收感谢: 1
据我经验,一般服务器对外的服务也没有多少,映射量不会很大!


_________________
我心无畏,源自于我心无知。
图片


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2007-01-23 10:54 

注册: 2006-11-18 15:40
帖子: 452
送出感谢: 0 次
接收感谢: 0 次
个人以为客户端把自己的ip当成了内网的那个192.168.x.x之类,而动态域名网站收到它的时候显然不知道这个ip是哪里的。


_________________
linux什么最重要?硬件要旧,软件要新!
Ubuntu什么最重要?源要全!网要快!
不是你不明白,是linux变化快
人品也很重要


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 10 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译