奇怪的防火牆問題
我們在網路上放置了一個 Web 伺服器,它最近從另一個子網中的測試環境轉移到了另一個辦公室。現在我們已經有了伺服器,我們可以通過其內部 IP 訪問它,但無法通過分配的外部 IP 訪問它。一旦您允許埠 80 和 443 通過並將外部 IP 映射到通常啟動並執行的內部 IP,我不確定該怎麼做。
我什至禁用了執行 server 2008 的 IIS 伺服器上的防火牆。我可以通過 HTTP 和 SSL 的內部 ip 訪問該站點。管理員告訴我防火牆有適當的設置,但我沒有足夠的訪問權限來確認。我通常的邏輯告訴我,如果我可以在內部訪問它,只要防火牆/路由器配置正確,我也應該能夠在網路外部訪問它。
這是伺服器 2008 而不是 R2。我知道 Windows 2008 可以在防火牆中區分來自本地和外部網路的流量,但我認為禁用 Windows 防火牆會繞過這一點。我的眼睛一直盯著防火牆,但我想確保我沒有遺漏任何東西。
除了我提到的我應該檢查的內容之外,還有什麼需要檢查的嗎?我很茫然
因此,您的問題似乎是您難以確定問題出在哪裡,即問題是否出在已從測試環境轉移到另一個子網的新 Web 伺服器上。
部分混淆在於術語。您需要澄清一下,如果只是為了您自己在網路防火牆(可能使用基於您的標籤的 Checkpoint 軟體,但未提及)和 Web 伺服器上的 Web 伺服器系統的 Windows 防火牆之間的理智。
對於“外部 IP”,我認為您的意思是可以通過 Internet 訪問的可路由 IP 地址,或者換句話說,不是 RFC 1918私有 IP 地址。
在不知道網路拓撲的情況下,正如 user48838 在他的好答案中提到的那樣,很難說。
在啟用 Windows 防火牆並記錄拒絕或拒絕連接的情況下,如果您在事件查看器日誌中看不到拒絕/拒絕的 Web 連接連接,或者網路連接嘗試失敗,那麼我認為很可能存在與目標網路地址轉換(D-NAT 或 DNAT)以將外部請求轉發到具有內部 IP 的內部網路上的 Web 伺服器。轉發外部 IP 地址的其他方法可能是可能的,但 DNAT 是最常見的。
作為一個 Unix 極客,我通常會使用 tcpdump 來驗證這一點。因此,在伺服器( WinDump、Ethereal或Wireshark )上啟用任何基於主機的 TCP 監控,以查看它是否接收到任何針對埠 80 (HTTP) 或 443 的 TCP 連接嘗試。
tcpdump "tcp port 80 or port 443"當然,正如@user48838 所說,這可能是您的網路未設置為正確將內部請求重新轉發到您的外部 IP 地址的問題,如果您嘗試從內部網路訪問 Web 伺服器,這可能會出現問題. 如果這不是正常問題,您需要修改測試程序,例如使用外部代理進行測試。
您沒有提到任何代理伺服器,我是否認為此網路設置不涉及。