使用公共 IP 地址从 LAN 访问 SonicWall 后面的服务器

网络工程 防火墙 局域网 声波墙
2022-02-25 16:23:13

我们有一个 SonicWall TZ 400,带有一个桥接模式的 Comcast 调制解调器。一切正常,除了使用 LAN 区域的 WAN 的公共 IP 无法访问 LAN 上的公开服务。

我们使用 NAT 策略尝试了这些步骤,但不起作用。

https://www.sonicwall.com/en-us/support/knowledge-base/170505780814635

这是仅为测试 dot200 服务的访问而配置的 NAT 策略:

NAT 策略

这些是防火墙规则 WAN-LAN:

在此处输入图像描述

这是唯一配置的 LAN-WAN 规则:

在此处输入图像描述

监控我们有这个日志的数据包:

*Packet number: 1220*
Header Values:
 Bytes captured: 62, Actual Bytes on the wire: 62
Packet Info(Time:01/25/2019 12:53:49.112):
 in:X0*(interface), out:--, DROPPED, Drop Code: 717(Packet dropped - Policy drop), Module Id: 27(policy), (Ref.Id: _2118_qpmjdzDifdl), 2:1)
Ethernet Header
 Ether Type: IP(0x800), Src=[b8:ca:3a:9a:83:69], Dst=[xx:xx:xx:xx:xx:xx]
IP Packet Header
 IP Type: TCP(0x6), Src=[10.1.10.6], Dst=[xx.xx.xx.xx]
TCP Packet Header
 TCP Flags = [SYN,], Src=[61006], Dst=[81], Checksum=0x7bd7
Application Header
 Not Known

我们做错了什么?

1个回答

听起来你想要的是发夹路由。这不是一个好主意,因为它是次优路由,涉及 NAT(应尽可能避免的杂项),并且它不必要地加重了防火墙的负担并减慢了通信速度。

如果你真的想这样做,有文档描述了如何做。例如,这个

配置使用公共 IP 地址从 LAN/DMZ 访问 SonicWall 后面的服务器

上次更新时间:2018年 12 月 6 日35339次浏览101名用户觉得这篇文章很有帮助

描述

本文档介绍 SonicWall LAN 或 DMZ 上的主机如何使用服务器的公共 IP 地址或 FQDN 访问 SonicWall LAN 或 DMZ 上的服务器。

本文档介绍 SonicWall LAN 上的主机如何使用服务器的公共 IP 地址(通常由 DNS 提供)访问 SonicWall LAN 上的服务器。想象一个 NSA 4500(SonicOS 增强型)网络,其中主要 LAN 子网是 10.100.0.0 /24,主要 WAN IP 是 3.3.2.1。假设您有一个客户网站,其主机名为 . 您已经编写了所需的策略和规则,以便外人可以访问该网站,但它实际上是在私有服务器 10.100.0.2 上运行。现在假设您是一个在私有端使用笔记本电脑的人,IP 为 10.100.0.200。您想使用其公共名称访问服务器,因为当您在旅途中携带笔记本电脑时,您会做同样的事情。如果您坐在私人方面,并请求 http://www.domain。>,环回是使它工作成为可能的原因,即使服务器实际上就在您旁边的本地 IP 地址上。

要允许此功能,您需要创建一个环回策略。

解析度

此策略背后的想法是,如果您希望与 LAN 中的公共 IP 通信,则必须将源转换为公共对象。

  • 登录到 SonicWall 管理 GUI。
  • 导航到管理 | 政策 | 规则 | NAT 策略子菜单。
  • 单击添加按钮。
  • 创建以下 NAT 策略。
  • 原始来源:LAN 子网(或防火墙子网,如果您希望包含其他区域中的主机)
  • 翻译来源:WAN 接口 IP
  • 原始目标:WAN 接口 IP
  • 翻译目标:(LAN 服务器对象)
  • 原始服务:任何
  • 翻译服务:原文
  • 入站接口:任意
  • 出站接口:任意

在此处输入图像描述

其它你可能感兴趣的问题
上一篇WAP 电源配置文件? 下一篇我限制端口 INGRESS 但丢包