公司内部网络问题请教

winmxj

下面是我的网络拓扑:

其中SERVER连接两条线路:1、公网218这个IP    2、内网192的IP

现在有一个问题就是，有时候，我内网的主机通过192。168。X 这个地址访问的时候，无法打开网站主页，而这时通过外网的218打开正常，问题出在什么地方，请高手指点。

winmxj

请朋友帮忙

古

通过什么发布的站点？
内网的机器和服务器192的同一网段么？

一般来说不是你服务本身邦定了ip就是路由问题

toeight

NaT的问题 ，该服务器接受应答的时候发现返回的源地址是服务器的内网地址，而应该等待的是源地址是公网地址的数据包，直到超时。所以就访问不了了

[ 本帖最后由 toeight 于 2006-11-13 15:31 编辑 ]

james_zhuzhu

你的网络结构本身就不合理，接ISP最好是纯路由器，网络性能达到最好，防火墙只是安全设备，不是严格意义上的网络设备，把防火墙当作主出口，以后会有很多问题的。最好做下调整。除了NAT的原因，你的内网路由可能也有些问题。。。

山东大葱

E2接口所处的网络是DMZ区域，你怎么可以把内网交换与这个区域内的服务器连接起来呢？
如果你真想内网交换<-->DMZ区域内服务器的话，那么整那防火墙摆那做什么？
（附注：
    DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。
    网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。
    DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。
    在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。）

[ 本帖最后由 山东大葱 于 2006-11-20 15:57 编辑 ]

teczm

即使你要把内网服务器连接到内网交换机上，好歹也要在中间部署个墙阿。

你那个218.x.x.x是公网ip吧，建议在墙上bind 218.x.x.x，dmz区server 使用192.168.x.x，内网使用192.168.y.x

nzg88992

严重安全问题

COCOCA

同意5楼
DMZ方案是实现逻辑上使内网，外网，服务器区的连接，而不是物理上的连接