web-dev-qa-db-ja.com

パブリックIPアドレスを使用して同じLAN上のホストコンピューターからnattedサーバーに接続できません

登録済みのIPアドレスを使用して静的にNAT処理されたサーバーがあり、外部からアクセスできます。問題は、サーバーと同じLANに接続されているホストコンピューターで登録済みのIPアドレスを使用して内部からサーバーにアクセスできないことです。

ACLとCBACを非アクティブ化しようとしました。また、いくつかのルートマップを作成しようとしましたが、それを機能させる方法がありません。

私はCiscoを初めて使用しますが、これは望ましい動作である可能性があると考え始めています。そのため、可能かどうかを知る必要がありますが、NATサーバー上の同じLANから接続するのは悪い考えです。パブリックアドレス。

ありがとうございました。

P.S.プライベートアドレスを使用してサーバーに接続するのに問題はありません。

ciscorouternatlocal-area-network
5
Rafty

ファイアウォール/ルーター/その他がNATを実行している場合、パブリックIPがNATされている内部ボックスNATアドレスについては何も知りませんであることを忘れないでください。

したがって、これが機能するためには、パケットが内部LANを離れ、外部ネットワークに出て、ファイアウォール/ルーター/ NATを実行しているものを介して戻ってきて、最後に内部ボックスに渡される必要があります(繰り返しになりますが、これも一般的にNATについては何も知りません)。

可能な回避策がいくつかありますが(Ciscoを使用している場合はCisco aliasコマンドを参照)、一般的には実際にはやりたいことではありません。

これが、内部ホストと外部からアクセス可能な(パブリック)ホストを含​​むほとんどのネットワークが、内部ホストと外部ホスト用に別々のDNSサーバーを維持する理由です。 www.example.comが外部IPを指すように外部DNSサーバーをセットアップし、www.example.comが内部IPを指すように内部DNSサーバーをセットアップすることができます。 BINDを使用している場合は、viewsを使用するとこれが非常に簡単になります。

7
Christopher Cashell

これを機能させるには、「alias」コマンドを使用する必要があります。

参照: http://www.Cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aee.shtml

NB!:ASDMはこのコマンドをサポートしていません。CLIで実行する必要があります。

2
pauska

この回答 それが機能しない理由についてより明確です。

これは標準的な動作です。ネットワークアドレス変換は、ファイアウォールによってネットワークインターフェイスを通過すると理解され、通常、トラフィックの方向に基づいて構成されます。 IOW、ファイアウォールは、INBOUNDトラフィックをEXTERNALインターフェースで受信したアドレスに変換し、それを送信するように構成されています。

Pauska 注記 必要に応じてこれを実現する1つの方法。ここで行うのは名前によるアクセスであり、内部DNSにサーバーの内部アドレスを提供させ、外部DNSに外部アドレスを提供させます。

0
tomjedrz