¤ 阳光论坛 ¤ - 阅读帖子

请登录［¤ 阳光论坛 ¤］参与讨论

阳光宝宝

□ 主题：如何实现内外网通过域名访问内网WEB服务器

□ 内容：

1楼

      网络环境：
      光纤接入
      一台网控台
       内网IP段为：192.168.100.*
       AC的WAN口IP为：59.57.251.62
       AC的LAN口IP为：192.168.100.7（作为内网PC的网关）
       内网中有一台WEB服务器（IP：192.168.100.12）
       域名：wkb.a1.cn 已解析到：59.57.251.62上
      网络拓朴图：

      实现目的：
      内网、外网通过域名：wkb.a1.cn或者 IP：59.57.251.62都能访问内网的WEB服务器（192.168.100.12）的内容。
      具体分析：
      ⑴ 要实现外网通过域名访问内网的WEB服务器，就必须在AC上进行[WAN1到WEB服务器]的端口映射，
      和防火墙WAN-->LAN协议开启配置。
      ⑵ 要实现内网通过域名访问内网的WEB服务器，就必须在AC上进行[LAN口->WAN1->WEB服务器的端口映射和防火墙LAN->WAN、LAN->LAN的协议配置。
      具体实现：
      在这里WEB服务器的协议是：HTTP协议端口：80（这里是默认端口，如果改成其它端口，必须把80改成其它端口。
      内网WEB服务器架试不在细述。
      一、实现外网访问内网WEB服务器：
      ①首先在[NAT规则设置]-->[端口映射设置]中进行WAN--->LAN端口映射的设置。

      在这里我们选择 [新建]进行新的端口映射设置。
      选择协议和端口，WEB端口默认80

      网络接口：从外网访问到内网的WEB服务器，这里必须选WAN1。
      转换条件-协议：在这里设置源IP的端口设置。
      转换目标IP地址：地址为内网WEB服务器的IP地址。
      转换目标端口：设置为目标端口的设置。
      最后记得勾选“启用”才能启用端口映射条件。

      上面就出现了刚设置WAN-》LAN（WEB服务器）的端口映射，最后“设置生效”。
      注意：在这里已经设置了从WAN-》LAN（WEB服务器）的端口映射，此时还无法从外网访问内网的WEB服务器，还必须开启从WAN-》LAN的WEB协议。
      ②进入[防火墙]---[防火墙规则设置]---[WAN<->LAN]进行WEB协议设置。
      进入[新建]窗口


      这里要注意的是，此时要从外网访问内网的WEB服务器，所以，上图的方向必须选择[WAN--->LAN]，并且动作必须是[允许]。
      服务选项：选择需要通过的协议，此时要开通WEB服务的协议，所以选择HTTP协议。
      这里必须勾选[启用规则]否则此规则无效。
      最后确定，设置生效后就可以从外网通过域名正常访问内网WEB服务器。
      让我们来看一下设置的结果。。。

      通过上面二步的设置，已经实现了从外网访问内网的WEB服务器。
      如果不再任何的设置，内网通过域名和IP是无法访问内网的WEB服务器，要实现此功能必须要对端口映射和代理网段和[LAN<-->LAN]协议配置。
      二：实现内网通过域名访问内网WEB服务器：
      1、首先要实现端口的映射

      进入[修改端口映射规则]窗口。

      转换条件---目标IP地址：此项必须是[WAN1]因为我们要从内网访问的WEB服务，就必须将内网的IP访问先转换到外网，然后从外网再协议转换。
      2、第一步设置以后，还必须对代理网段的设置。

      点击[新建]进入[修改SNAT规则]

      这里必须勾选[启用]否则上面所作的设置都无法实现对WEB服务器的访问。
      3、最后我们还需要对[LAN<->LAN]的协议配置。

      进入[修改防火墙规则]

      到这一步对内网通过域名和IP访问内网的WEB服务器的设置已经完成。
      我们进行一下设置是否生效：


      到这里我们就实现了对内网和外网通过域名和IP地址访问内网的WEB服务器。

——

□ 争分夺秒背单词 → disturb vt.打扰，扰乱；弄乱

□ 发帖时间：2012-5-25｜0:04:43

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

2楼

      服务器内外网均能访问解决方案

      一．网络结构：
      公司在防火墙的LAN区，子网为192.168.0.0/24；服务器在防火墙的DMZ区，子网为182.284.135.240/24，一台服务器182.284.135.249对外提供WEB服务。

      二．公司需求
      公司内需要访问他们在防火墙DMZ区的服务器群，要既能能通过LAN访问，也能通过外网IP访问。

      三．解决方案
      1．增加内部子网为192.168.155.0/24，外部子网仍为182.284.135.240/24
      产生故障1：
      服务器的第二块网卡一旦启用，能通过公司子网访问服务器，不能从INTERNET访问。
      2．将2张网卡上的“默认网关”都设为空，再在DOS下输入以下命令：
       route delete 0.0.0.0 mask 0.0.0.0 // 删除所有的默认路由
       netstat -r // 查看路由表
       route -p add 0.0.0.0 mask 0.0.0.0 182.284.135.241 metric 1 // 添加默认路由
       route -p add 192.168.0.0 mask 255.255.255.0 192.168.155.1 metric 1 // 添加到公司网段的路由
      现在，造成故障2：
      公司子网能访问到服务器内部子网，但无法访问WEB服务器(182.284.135.249),能通过INTERNET访问web服务器。
      3．在DOS下输入命令：
       route delete 192.168.0.0 mask 255.255.255.0 // 删除到公司子网的路由
      造成故障3：
      公司子网不能访问服务器内部子网，能访问WEB服务器(182.284.135.249)，能通过INTERNET访问web服务器。

      4．在防火墙的规则里添加一条LAN到DMZ的访问规则，LAN中的用户使用动态NAT访问DMZ区的服务器，而不是用以前的二层透明，所有问题解决。

——

□ 争分夺秒背单词 → vast a.巨大的；大量的

□ 发帖时间：2012-5-25｜0:05:04

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

3楼

http://tech.ddvip.com/2009-06/1245232239124295.html

——

□ 争分夺秒背单词 → dread n.畏惧；恐怖 vt.惧怕

□ 发帖时间：2012-5-25｜0:07:35

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

4楼

      FTP问题

      1.在你们9楼用一台机器作为FTP服务器，安装FTP服务端软件，如serv-u，给服务器设定一个内网固定IP地址，如192.168.1.10，需与其它的70多台电脑在同一网段，这样9楼的其它机器输入ftp://192.168.1.10就能登陆ftp服务器了，当然可以设定登陆用户名、密码和权限。当然9楼的客户机用DHCP分配IP也可以。
      2.选择一个电信送的公网ip地址作为FTP的外网地址，在9楼的路由器上将选定的公网IP地址映射到内网的192.168.1.10即FTP内网ip地址上。10楼老总办公室使用登陆公网IP来登陆FTP，而9楼使用登陆内网IP来登录FTP。
      3.给你们老总和每个员工分配好FTP的登陆用户名、密码和权限，设定好老总的FTP客户端，使老总打开FTP客户端就能看到FTP文件夹内的东东。
      4.大功告成。

——

□ 争分夺秒背单词 → manly a.男子气概的，果断的

□ 发帖时间：2012-5-26｜23:11:48

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

5楼

http://wenku.baidu.com/view/1d83d73143323968011c9270.html

——

□ 争分夺秒背单词 → infer vt.推论，推断；猜想

□ 发帖时间：2012-5-26｜23:15:09

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

6楼

      利用静态NAT的方式让我朋友访问我的FTP游戏服务器，首先在我机子上建立ftp，之后固定ip地址（比如：192.168.0.254），最后在路由器上写上这么一句ip nat inside source static tcp 192.168.0.254 x.x.x.x(x.x.x.x为ISP分配给我的地址），这样我朋友就能够在外地使用ftp：//x.x.x.x就能够登陆上我的计算机了。
      虽然问题解决了，不过留下的问题比较多，
      1).由于对登陆上的用户，给予的是administrator权限，任何人都能够进行修改与删除操作；
      2).由于我的ftp是访问，那么只要知道我的ip地址，就能登录进我的游戏服务器，对文件进行操作，对我的游戏服务器安全有很大的隐患；
      经过考虑，用以下办法解决：
      1).在ftp的文件中新建一个文件夹取名为上传空间，给能上传的权限，之后对其他文件夹给只能下载的权限；


      2).ftp默认的端口是21，给【不发分子】给可乘之机，能够通过改变端口号的方式解决。端口号尽量选大点（尽量选大于1024以上，我选的是3129），在配置ftp设置中端口号改为3129，还需在路由器上设置ip nat inside source static tcp 192.168.0.254 3129 218.22.171.3 3129，这样访问ftp就需要ip与端口进行访问了。此外能够用专门的ftp工具进行下载，如FLASHFXP。

——

□ 争分夺秒背单词 → privilege n.特权，优惠

□ 发帖时间：2012-5-26｜23:27:54

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

7楼

      外网用户如何访问内网FTP服务器

      　实际上，电脑用户是可以直接访问网通用户的，只是速度上不堪一睹；究其原因是由于随着电信网通南北方分踞的出现，使得全国一张大网的布局被割断，造成现在所有的大型网站访问都面临着电信网通之间的访问速度方面的瓶颈，有时还根本无法访问。
       比较成熟的解决办法是配置VPN网络（即虚拟专用网络）。利用这类网络结构即可让远程电脑用户通过现有网络的物理链路在需要的时候安全地与网通上的FTP服务器进行互访；而且其最大的特点就是速度快，就如同在一个局域网内一样。下面具体来看看。
       一、理解VPN。
       虚拟专用网络（Virtual Private Network，VPN）属于专用网络的延伸，通过VPN可以以模拟点对点专用链接的方式采用共享或公共网络的方式在两台计算机之间发送数据。我们可以这样来理解：VPN是道路中的“公交专用线”，但要分清，由VPN组成的这条公交专用线并不是物理存在的，而是通过某种技术手段模拟出来，即是"虚拟"的；故其具有良好的保密性和不受干扰性，使双方能进行自由而安全的点对点间的连接。
       二、VPN架设准备。
       一般的Win9X/2000/XP操作系统已经内置了VPN功能，也有专门的支持VPN功能的宽带路由器，不过那样显得投资太大。为使不同系统间更好的配合，这里采用第三方软件的办法来实现（Wingate VPN）。总的架设流程为：先申请一个免费域名，然后在两台电脑里分别安装此软件并配置，之后即可象在局域网一般使用VPN网。
       Wingate VPN下载地址：http://www.cloudnet.com.cn/download/wgvpn.exe

      　三、架设流程。
       1.免费域名申请。
       因为一般宽带的上网地址都是动态变化的，而我们要进行远程两机的交流，必须得有固定IP才能相互在茫茫网海中找到，解决的办法就是申请域名及安装动态域名解析软件。网上提供这类服务的站点还是不少，比如www.phx.2mydns.com、http://www.oray.net/等；笔者是在http://www.oray.net/申请的，同时注意申请域名成功后一定要到“域名服务中心”下激活你申请的域名，否则后面安装的解析软件是无法正常工作的！当按照页面提示申请到域名并激活之后，一并下载网站上提供的解析软件“花生壳”安装（只在提供服务端安装），这样另一端通过解析的这个域名即可访问到服务端了。
       2. 服务端Wingate VPN安装及配置.（即网通FTP服务器）
       配置之初，先将这台电脑上需要共享的目录设置为共享。安装完毕并启动Wingate VPN时，会要求你输入登录账户及密码；默认账户名为“Administrator”，密码为空，如图1所示。（可到主菜单栏“options”下的“Change password”里修改密码，不过账户好像不能更改）。

       然后还需要建立一个VPN用户。方法是在主界面左面切换到“Users”选项，接着在“Users”上点右键选“New user”，之后输入用户名及密码并一定勾选下面的“account enbled”即可。
       步骤1：单击工具栏“control”按钮，在左面“VPNs hosted”栏下双击“Add a new VPN”；接着在出现的对话框的“General”选项卡下输入VPN名及节点名，切记要将“Local”选择为“Local network”，否则另一方就无法享受此VPN服务了（如图2所示）；

       步骤2：切换到“X509 Certificate”选项卡，在这里生成一个私有的证书，用于VPN网的简单身份验证。先选中“Generat a X509 Certificate First”后点“Generat Certificate”选项；在出现图3所示的窗口下方，两次输入证书密码而其它项保持默认，接着对建立者相关信息如E-mail等做些设置后在下一步里单击完成即可。

      图3（点击看大图）
       步骤3：这一步主要是配置可以访问此VPN连接的用户信息。切换到“Policies”选项卡，点击下面“Add”按钮进入如图4所示窗口；“Recipient”选项用于设定允许访问的用户组，可以是全部，也可以指定；并可在“Location”和“Time”选项里作进一步权限配置，为了此VPN实例的高效简易运行，建议保持其默认值。配置完成后返回“Recipient”单击“Apply”后，再单击“OK”。

      图4（点击看大图）
       至此服务端VPN配置基本完成，在主界面右边也能看到配置的VPN名了。而要让另一端能访问到服务端，还须将服务端的配置导入另一端，这也算是采用此软件的一大简易快捷之处。方法为：双击主界面左面“Miscellaneous”框内的“General”，在“VPNs to Host”选项卡下选中建立的VPN项目后点“Export Config”（导出配置）；接着在出现的如图5所示对话框中，输入本机当前IP地址或是在前面申请到的免费域名，点OK后选择保存路径即可（生成以VPN为后缀名的文件）。
       采用什么方式将此配置文件传到另一端就大家自己想吧！

      图5（点击看大图）
       3.访问端设置。（即电脑用户端）
       首先以服务端安装方法在接收端安装好Wingate VPN。同样双击主界面左面“Miscellaneous”框内的“General”选项，之后切换到“VPNs to Join”点“Import Config”（导入配置）；选中服务端提供的配置文件将它导入，接着会出现如图6所示窗口，让我们进一步验证服务端的配置；单击确定之后在主界面“VPNs to Join”栏下即可看到此VPN配置名；选择“Connect”后即可以右边看到服务端的电脑名了。同理，如果把接收端配置好的VPN文件导入服务端，两边同样可以连接成功，这也充分体现了点到点网络访问的优越之处。

      图6（点击看大图）

——

□ 争分夺秒背单词 → business n.商业，生意；事务

□ 发帖时间：2012-5-26｜23:30:18

|回复|返回|

阳光宝宝

□ 主题：回应:如何实现内外网通过域名访问内网WEB服务器

□ 内容：

8楼

      端口映射
      fa0/0内网 192.168.1.1 为FTP服务器
      fa0/1外网 200.1.1.1 为外网址址
      interface fa0/0
      ip add 192.168.1.2
      ip nat inside
      interface fao/1
      ip add 200.1.1.1
      ip nat outside

      ip nat inside source statice tcp 192.168.1.1 20 200.1.1.1 20
      ip nat inside source statice tcp 192.168.1..1 21 200.1.1.1 21

——

□ 争分夺秒背单词 → sentiment n.感情；情操；情绪

□ 发帖时间：2012-5-26｜23:30:51

|回复|返回|

页次：1/1页每页10 本主题贴数7

分页： 1

你还没有登录论坛，所以不能发表你的意见。你可以选择：

1、我已注册，我要

2、我还没注册，我要

3、太麻烦了，我还是

↑Go Top↑