台灣最大程式設計社群網站
線上人數
1970
 
會員總數:246207
討論主題:189786
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 關於在內部網路連線到外部網段上的web server?
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
關於在內部網路連線到外部網段上的web server?
價值 : 10 QP  點閱數:3372 回應數:8
樓主

tommy
門外漢
0 2
32 5
發送站內信

我有兩線adsl,一線有八個固定ip,另一線則是浮動ip,
防火牆可以連接這兩線adsl並自動挑選流量小頻寬大的線路上網
web server 內部 ip: 192.168.1.199
外部 ip: 228.175.x.x

我在防火牆設定NAT,將 228.175.x.x 對應至 192.168.1.199
然後設定存取規則將 192.168.1.199 的 80 port 允許外部連入
之後我用撥接上網,讓我的電腦處於外部網段上
可以用 228.175.x.x 連接到 web server
但是如果是在區域網路內,就只能用 192.168.1.199 連接到 web server
用 228.175.x.x 都會說找不到網頁,怎會這樣呢?
接著我在防火牆新增存取規則,把所有內外通道都打開,
這樣從區域網路內才可以連接到 228.175.x.x
可是這樣就等於沒防火牆啦......
我應該如何設定防火牆規則才能正確地讓內部網段連接到我的外部web server?
(外部網路連接 web server 是沒問題的)
請指教,謝謝!

本篇文章發表於2007-12-12 14:08
1樓
回應

lusaka
捐贈 VP 給 lusaka 檢舉此回應
這個問題是! 你沒有在防火牆上設定內對外的規則允許80 連到228.175.x.x
本篇文章回覆於2007-12-12 16:29
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

tommy
檢舉此回應
這個我有試過了,區網允許存取 228.175.x.x 的 所有 port 也不行耶
本篇文章回覆於2007-12-12 16:34
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
某些舊型的IP分享器就會這樣..繞不回來 :Q
更新IP分享器的韌體試試
(2WAN的???有這種狀況的有C200..該不會就是這臺吧?)
本篇文章回覆於2007-12-12 20:56
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

tommy
檢舉此回應
因為我把所有內外通道全部打開就不會發生區網連不上外部web server的情況
所以我後來又試了...(本來那些存取規則還有保留,除了內外通道沒有全開以外)
就是把目前電腦的虛擬IP設定成目的IP,來源IP 為 區網內any ip...
port設定成全部(只設定80還不行), 這樣竟然就可以從區網連到外部web server
但是如果用區網另一台電腦去測試又不行, 所以我就把那條規則改成 目的ip= 192.168.1.1 ~ 255
這樣區網內每台電腦都可以連到外部web server了
雖然問題解決了,但怎會這樣呢?
我明明是要連到 228.175.x.x 但在防火牆內卻加了一條規則
設定目的ip=自己的虛擬ip (當然 web server 的內外部ip port都有開通)
這樣區網才可以連到外部web server, 好怪喔?? 有誰可以解釋這現象的,感恩 ^^
本篇文章回覆於2007-12-12 21:49
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
把你設備名稱寫出來
Rule列出來
網路架構畫個圖
NAT內電腦的IP設定弄出來
你的電腦能夠透過NAT出去,又能撥接上網?
本篇文章回覆於2007-12-12 23:57
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

tommy
檢舉此回應
抱歉啦,對於網路的東西我懂得不是很多,拉哩拉雜講一堆
設備名稱:QNO 代號好像是330,介面上都是簡體

網路架構:2-wan,DHCP,沒有DMZ,只有一個網段 192.168.1.x
外部固定IP有八個

NAT一對一對應就是把 228.175.x.x 對應到 192.168.1.199
在這裡沒有設定port對應,要到防火牆規則那媔}通

規則大概十幾條,但是主要有影響的三條放在最上面
第一條就是開通 192.168.1.199 的 80 port (來源ip不限)
第二條開通 228..175.x.x 的 80 port (來源ip不限)
第三條是 開通 192.168.1.1~255 的 所有 port 的權限 (來源ip限制為區網內)
我發現第三條一定要啟用,區網才能存取到web servr 的外部ip
撥接上網的話,只要啟用第一條就可以存取到web servr 的外部ip
第二條有沒有啟用好像沒差耶...
撥接上網是我把網路線拔掉...插上另一條電話線,等於就是用數據機上網了
本篇文章回覆於2007-12-13 03:49
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
最有價值解答

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
QVM330是吧= =a
更新韌體到最新的
然後,有個極重要的步驟
將設定值弄回Factory default
然後,請切到英文介面= =
接著設定你的WAN
然後設定Virtual server
在Advanced Setting => Forwarding 這裡設..
正常來講,這樣就夠了
再不行,去http://www.qno.com.tw看他們討論區或是找他們客服吧= =a
或者是來信告訴我你那臺的外部管理的IP及Port,帳密,我看看您是怎麼設的..(這個最好也是讓QNO客服去處理)
這台雖然脾氣不好,但是印象中沒有您所說的問題,應該是設錯居多
本篇文章回覆於2007-12-13 11:22
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
作者回應

tommy
檢舉此回應
謝謝喔 回答的很詳盡
改天比較有空再來試看看
本篇文章回覆於2007-12-13 12:55
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.