1樓:
怎麼可能外網能夠直接ping通內網呢。。你這個配置肯定有問題。。。配置先貼上來看看。
2樓:海軟
從原理上來說,有很多方法繞過nat進入內部網路:
1) 象木馬等方式可以使得內部網路一臺機器作為攻擊內部網路的跳板,微軟類似這樣被搞過很多次了;
2) 某些nat無法阻擋源路由協議的攻擊,攻擊者可以由此進入內部網路(可以通過windows下的tracert命令的-j引數進行測試, -j host-list loose source route along host-list.)
3) nat如果不加過濾,一些偽造源ip地址的包也可能侵入內部網路
4) 如果內部有臺符合rfc標準的能夠提供pasv方式的ftp伺服器的話,外部使用者可以通過這臺ftp伺服器進行ftp pasv方式的埠掃描。
5) more and more...
有太多方式可以透過nat進入內部網路,而且還有一堆人都在研究怎麼透過nat甚至nat+fw
fw在很多方面可以加強整個內部網路的安全性:
1) 埠過濾,埠過濾是加強安全的最基礎的方式,可以防止想當一部分攻擊;
2) 地址過濾,可以防止一些偽造源ip地址的攻擊和源路由攻擊
3) 會話過濾,好的fw可以做到會話級別的過濾
4) 應用過濾,能夠實現應用級別的過濾是fw的比較高階的功能了,過濾顆粒比較細
5) more and more...
結論是僅僅用nat來實現網路安全是不夠的,fw有很多nat實現不了的功能,完整的網路安全解決方案還應該包括網路防毒、ids以及專家掃描系統等等,我認為最重要的還是管理員的水平和盡不盡職。
3樓:曲臂三十三
把圖和show run貼上來,配置肯定有問題。
配置思科的nat動態地址轉換的時候,對於外網來說,如何訪問這個設定的內網的那個web伺服器呢?輸入哪個ip呢
4樓:匿名使用者
使用埠對映,將web伺服器80埠對映到外網地址80埠:
cisco(config)#ip nat inside source static tcp x.x.x.x 80 y.y.y.y 80
其中x.x.x.x是web伺服器ip,y.y.y.y是對外ip。
5樓:匿名使用者
使用的是路由器嗎?路由器都有埠對映功能,web伺服器設定成靜態ip,然後把80埠對映到web伺服器ip。另外需要看一下你們的外網80埠有沒有被寬頻服務商封了,現在國內**需要備案才能訪問,所以寬頻服務商會把所有使用者的80埠關閉,這樣就不能通過外網ip地址直接開啟web服務。
如果不能開通80埠,web服務可以使用其他埠,例如使用81埠(埠沒有特別限制,只要不跟已有的服務重複就行了),訪問web服務的時候,使用http://外網ip:81就行了。
6樓:
一般伺服器做nat的時候都是用固定ip地址的。如果非要用動態nat對映,那伺服器只能去主動連線客戶端,因為客戶端不知道伺服器要使用哪個外網地址。因此,它們僅能實現網路通訊,但想實現web服務就很相對麻煩一點。
7樓:大漠_孤鷹
內網的web伺服器的ip對映到外網的固定ip,同時需要把你web伺服器相應的埠對映出去,同時,外網ip也需要對映到內網ip,你要明白一點,伺服器的ip都是一對一的,也就是一個內網ip對應一個或多個外網ip
在思科配置nat的路由器上配置rip,要不要宣告內網網段?
8樓:蹉跎哥
如果用rip來配置的話是需要宣告內網網段的,但是還需要宣告路由器外部的外網網段才可以。
好比內網的網段是192.168.10.0,外網網段是192.168.100.0那在這臺路由器上配rip的時候的命令是:
network 192.168.10.0
network 192.168.100.0rip只支援小型網路,如果是大型還是推薦ospf路由協議。
9樓:夢見你哦
那在這臺路由器上配rip的時候,要不要有network 192.168.10.0這句呢?
當然了,不然你做rip幹什麼,不就是為了兩個內網的互通麼。
如果有是不是外網可以ping到內網?為什麼?
可以,不過前提是別人通過你的rip學到了192.168.10.0關於你的nat,如果不是關於rip的話,外部只憑借nat的對映是不可能ping到你的。
10樓:
如果你只有一個路由器是做邊界的話
在路由器上配置預設路由就可以了
沒必要使用動態路由協議來佔用路由處理器
cisco 怎麼使用nat 讓內網連通外網 外網連不通內網
11樓:曲臂三十三
假設你的內網為192.168.1.0/24
路由連線internet口為fastethernet0/1,連線內網介面為fastethernet0/2
access-list 1 permit 192.168.1.0 0.0.0.255 //匹配子網
ip nat inside source list 1 inte***ce fastethernet0/1 overload //nat轉換
介面上應用
int f0/1
ip nat outside
int f0/2
ip nat inside
連通指的是雙向傳遞,內網連通外網而外網不能連通內網是不可能的。
我想你指的是內網能主動訪問外網主機,而外網不能主動訪問內網主機。那麼上面的nat可以做到。
12樓:匿名使用者
出口路由器上
access-list 1 permit x.x.x.x [反掩碼] //定義acl匹配內網網段
ip nat pool zz y.y.y.y z.z.z.z netmask [正掩碼]//定義外網地址池 如果只有一個出口地址那麼寫成一樣的地址
ip nat inside source list 1 pool zz overload //建立nat對映關係 這裡給出的是常用的pat
介面下外網介面:
ip nat outside
內網介面:
ip nat inside
在思科模擬器下怎樣實現動態nat地址池的轉換
13樓:匿名使用者
以目標地址
bai202.99.99.
0 /24 ,地址池名字du為dz 為例zhiip nat pool dz 202.99.99.
2 202.99.99.
23 netmask 255.255.255.
0ip nat inside source list 1 pool dz
access-list 1 per any在內網接
dao口下
輸入專:屬ip nat inside
在外網介面下輸入:ip nat outside
14樓:
ip nat 就可以了啊。
安卓手機的動態鎖屏和動態桌布在鎖屏螢幕不亮的情況下也比靜態的耗電嗎?為什麼
1 動態抄桌布其實就 相當於是一襲種應用,使用動態桌布其實就相當於是在一直掛機,當然時刻都在耗電 鎖屏是一個道理。2 靜態桌布或系統自帶鎖屏都是系統本身的一部分,不會額外耗電,因為動態桌布始終要佔用比靜態桌布更多的資源,例如處理器運算 執行記憶體駐留佔用等。是的。因為動態copy桌布一般都是個小程b...
在配置思科交換機的時候,為什麼無法輸入密碼,也就是鍵盤不起作用
你好!這種是密文認證,看不到的,但可以輸入的,是你輸入正確的密碼之後回車自然切換到特權模式。不顯示,直接輸入登入就是了 預設不顯示密碼的,什麼問題都沒有 只要輸入正確的密碼直接能進特權模式 你輸入正確的密碼之後回車自然進入到特權模式 思科 packet tracer的交換機設定特權密碼後,再進入特權...
思科三層交換機配置,實現不同vlan間的通訊
寫個模擬器的配置,router的f0 0與switch的1 1相聯,switch當二層交換機看,vlan20和vlan30是兩個應用vlan,通過router的f0 0做單臂路由的互訪 router config inte ce fastether 0 0 router config if no i...