原因-路由回流

当用路由器防火墙等设备将内网服务器发布到公网上，供外网用户访问的过程中出现的一种现象，就是你发现web服务器已经成功发布了，外网用户能够成功访问，但内网用户确无法访问到web服务器，这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT（也被称作源地址转换）和端口映射（也被称为目标地址转换）造成的。

组网图

• 内网用户与服务器不同网段
  
• 内网用户与服务器相同网段
  

解决方案

内部NAT方案

内网用户与服务器不同网段

E0/0和E0/2都需要做nat server

int e0/0
nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 www
int e0/2
nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 www
nat dns-map www.abc.com 202.103.1.1 tcp #若通过域名访问添加此配置

内网用户与服务器相同网段

acl number 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255
int e0/2
ip add 202.103.1.1 255.255.255.0
nat server protocol tcp global 202.103.1.1 www inside 192.168.1.254 www
nat outbound 3001
int e0/0
ip add 192.168.1.1 255.255.255.0
nat server protocol tcp global 202.103.1.1 www inside 192.168.1.254 www
nat outbound 3001 #必须添加这条
nat dns-map www.abc.com 202.103.1.1 tcp #若通过域名访问添加此配置

内网DNS方案

在内网配置一台DNS服务器，内网的所有客户端的DNS的IP都填写这台内网的DNS服务器的IP地址，还需要在内网DNS服务器上配置转发器，转发器中填写公网上的运营商DNS服务器的IP地址就可以解决访问其他网站的问题了。

防火墙DNS Mapping方案

注意不是所有的防火墙都支持路由回流，配置域名+外网IP+内网IP即可。

路由器DNS Mapping方案

[R1] nat dns-map www.abc.com 192.168.1.100 80 tcp

其他方案

如果内网需要使用域名访问的用户不多，则可以在内网机器上的C:\Windows\System32\drivers\etc\hosts添加以一行记录，192.168.1.100 www.abc.com，这样就可以了。

小结

上述几种解决方案中，内网DNS解决方案最符合一般人的习惯，安装配置也是最简单的，但是需要一台DNS服务器。

内部NAT解决方案在企业级的路由器或者防火墙上很容实现，但是难度比内网DNS方案略大。

防火墙DNS Mapping和路由器DNS Mapping需要防火墙和路由器支持，目前大多数防火墙和路由器支持，但是购买前请咨询厂商。

资源

内网用户通过域名或公网IP访问内部服务器的解决办法

内网通过域名或公网IP访问ERP的解决方案

内网用户不能通过域名访问web服务器

华为交换机DNS MAP配置实例

实验室采购了一台Linux服务器，需要几个人使用。我们希望几个人在使用的过程中，互不干扰。自己所安装的各种环境不会对其他人或root账号下的主系统环境有影响。要达成此目的，需要使用拥有超级管理员权限的root建立几个用户。

1.使用ssh远程访问服务器（如果服务器就在你面向，也可以直接操作服务器，省略此步骤）

# 默认端口22登录
ssh 用户名@IP地址
# 自定义端口登录
ssh -p 端口 用户名@IP地址

2.添加用户

sudo adduser 用户名

注：这里使用了adduser命令添加用户，与之相似的还有一个useradd命令。
在Ubuntu中创建新用户，通常会用到两个命令：useradd和adduser，虽然作用一样，但用法却不尽相同。
可参考Ubuntu中useradd和adduser的区别

3.为用户赋权，这里赋予超级管理员（sudo）权限

 sudo vi /etc/sudoers

注：所用拥有超级管理员sudo权限的用户都在 /etc/sudoers文件中。这里我们通过vi编辑器打开sudoers文件，然后对该文件进行编辑，在该文件中添加一行命令 用户名 ALL=(ALL) ALL ，就可为该用户赋予sudo权限

4.在root ALL=(ALL) ALL后面添加新的一行用户名 ALL=(ALL) ALL ，保存并退出，添加超级用户权限完成。

注：vi编辑器的用法
按ESC键 跳到命令模式，然后：
:w 保存文件但不退出vi
:w file 将修改另外保存到file中，不退出vi
:w! 强制保存，不推出vi
:wq 保存文件并退出vi
:wq! 强制保存文件，并退出vi
q: 不保存文件，退出vi
:q! 不保存文件，强制退出vi
:e! 放弃所有修改，从上次保存文件开始再编辑

5.创建完用户后，发现/home目录下生成了以用户名命名的文件
使用 cd /home命令进入该目录下
在使用ls命令查看该目录下的用户目录有哪些

amax@amax:/$ cd /home
amax@amax:/home$ ls
amax        tyb       gjb  

这里amax用户拥有超级管理员权限。在使用Linux过程中，Root账号拥有最大的操作权限。为保证Root账号安全，一般不直接使用Root账号，而是直接创建一个拥有Root权限的其它账号来使用。这里的amax就是如此。
使用拥有超级管理员权限的amax创建了tyb用户。可以在home目录下找到以该用户名命令的文件

6.进一步查看tyb用户目录下有什么

amax@amax:/home$ cd tyb
amax@amax:/home/tyb$ ls
examples.desktop

examples.desktop是什么呢？有什么用？
查看https://segmentfault.com/q/1010000016976365
得知：
问题：ubuntu18.04用户目录中的examples.desktop是什么文件？ 有什么作用？
在终端中打开用户主目录可以看到examples.desktop文件，但是在文件管理器中却看不到这个文件。 在文件管理器中却有Examples文件夹。这两个文件有什么关联吗？ 为什么要有这两个文件？
回答：.desktop文件是Linux图形桌面的快捷方式文件。也就是说你的图形化程序期望能在开始-菜单中打开，那么你必须有一个.desktop文件放在对应的目录下。
Ubuntu的那个Example只是一个演示，让你看看自己写一个desktop该怎么写而已，删掉也不影响。只有图形桌面才会带那个文件，Server无图形桌面就没这个文件。

7.因为tyb是新建的用户，所以该目录下并无其它东西。同时我们需要验证当使用tyb登录服务器，并安装一些环境时，对其它用户并无影响。

使用pip list命令查看amax下的环境
pip list 命令列出所有安装包和版本信息

amax@amax:/$ pip list
Package                            Version
---------------------------------- ---------
alabaster                          0.7.10
anaconda-client                    1.6.14
anaconda-navigator                 1.8.7
anaconda-project                   0.8.2
asn1crypto                         0.24.0
astroid                            1.6.3
astropy                            3.0.2
attrs                              18.1.0
Babel                              2.5.3
backcall                           0.1.0
backports.shutil-get-terminal-size 1.0.0
beautifulsoup4                     4.6.0
bitarray                           0.8.1
bkcharts                           0.2
blaze                              0.11.3
bleach                             2.1.3
bokeh                              0.12.16
boto                               2.48.0
Bottleneck                         1.2.1
certifi                            2018.4.16
cffi                               1.11.5
chardet                            3.0.4
......

8.切换到tyb用户

使用命令：su tyb

amax@amax:/$ su tyb
Password:
tyb@amax:/$ ls
bin    core  etc         initrd.img.old  lib64       mnt   root          sbin  sys       usr      vmlinuz.old
boot   data  home        lib             lost+found  opt   run           snap  test.log  var
cdrom  dev   initrd.img  lib32           media       proc  save_pid.txt  srv   tmp       vmlinuz
tyb@amax:/$ pip list
Package    Version
---------- -------
pip        18.1
setuptools 40.6.2
You are using pip version 18.1, however version 20.2.2 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.
tyb@amax:/$

注：切换到tyb后，使用ls查看当前所在位置有哪些文件。与之前使用amax用户切换tyb时所在的位置有关。如果使用远程访问，使用tyb登录，会发现此时所在位置就是该用户的用户目录/home/tyb，稍后验证。
使用pip list 可以发现该用户环境下没有安装什么，只有一些工具类。与amax用户使用pip list作对比，发现不同。这就说明了，当我们切换到另外一个用户时，就切换到了该用户的环境，与其它用户环境并不干扰。我们就可以放心在自己用户环境中安装配置了。

9.tyb用户使用ssh远程访问服务器

ctrl+D 退出远程访问，然后使用tyb用户ssh远程访问服务器:ssh tyb@IP地址

C:\Users\Administrator>ssh tyb@58.206.101.115
tyb@58.206.101.115's password:

使用pwd命令查看当前位置：

tyb@amax:~$ pwd
/home/tyb
tyb@amax:~$

发现所在位置就是tyb的用户目录。我们就可以放心在该用户目录下进行操作了，这样就不会印象到其他用户。除非你进入了他们的用户目录，对他们的文件做了增删改。

我们平常学习时经常会写一下javaweb程序，我们为了更能逼近现实，就想着自己的javaweb程序发布后，外网的同学能够访问我们的网站，难道我们去买空间，去买域名嘛，其实也没必要，我们只是学习，测试之用，在自己的电脑上搭建一个服务器完全可以满足要求。上次写的一篇博客，PC服务端与Android客户端实现网络通信，就是利用这个原理。

我们分为三步走来实现：(我这里用的示例javaweb程序是我自己简单写的一个小程序shop1)

1，

我们用Tomcat服务器，如果我们的javaweb程序已经部署到了Tomcat服务器，一般我们在本地访问的地址为:localhost:8080/shop1，localhost指本机，即127.0.0.1，8080端口号，shop1你部署的项目名称，但太过繁琐，我们只想通过IP地址来访问我们的项目，即127.0.0.1或者localhost，我们只需修改一下Tomcat的配置即可，打开Tomcat所在的目录，打开conf文件夹，打开server.xml文件，所要修改的部分如下：

即将port从原先的8080修改成80，因为http协议的默认端口是80，这样你就可以不用再输端口号了，把docBase="shop1"的值修改成你所部属的项目的名称，默认指向你的项目，这样你就可以不输项目的名称了。

还得注意一点Tomcat 7.0的版本的server.xml文件中居然没有

这一条，又下载了一个5.0版本的居然有，如果你的没有，复制加进去就可以了。

OK，这样的话，你在浏览器里输入localhost就可以访问你的项目了！

PS:为了下来的工作中不出现什么问题，我并没有将8080端口改成80，据说80端口被电信封掉了，我让用电信上网的同学访问我的网站，果然不行，这里我们明白道理就可以了，只是学习测试之用，所以我们就用8080端口。

2，

上一步我们只实现了自己访问，但如何让外网的同学访问，这里可能涉及了简单的网络知识，我网络学的也不是很好。就说的比较通俗一点。有两种情况（1）你上网没有用路由，运营商单独分给你一个IP地址，那你直接可以用你的IP让外网的同学来访问你的网站，我们这里用的是8080端口，所以形式为：XX.XX.XX.XX:8080。为了让多的同学了解，我在啰嗦一下，怎么知道自己的IP地址，你不必用在cmd命令行输入ipconfig这种略显专业的方法去获取，其实只要在百度搜索“IP查询”，第一个就是。

（2）用了路由器，一个路由器带了好几台电脑，比如说跟室友，这就需要你去路由管理页面去设置一下，端口映射，让别人访问你们的IP地址时，映射到你的电脑，在浏览器中输入192.168.1.1（以你的路由为准），进入路由管理页面，操作如下图：

转发规则-----虚拟服务器-------添加新条目

端口我们没改，所以填8080，IP地址为你的电脑在局域网中的地址，怎么样知道自己的局域网中的地址，很简单自己百度一下，只要局域网里的电脑不是太多，一般为192.168.1.XXX，我这里为192.168.1.101，然后点击保存，OK,然后外网就可以用你们IP去访问你的网站了！

我的效果图如下：

这时可以把这个网址发给你的同学，试一下，他能不能访问你的网站，答案是肯定的！

3,

但是又有新问题了，你第二天打开路由，或者再次上网时，运营商会重新分配给你一个新的IP地址，难道你让你同学访问时，再次把这个IP地址发给他吗？显然这是不合理了。

此时，我们就想有一个动态域名多好。这里给大家介绍一款软件“花生壳”，下载安装，然后注册后，你就会获得一个免费的二级域名，每次开机自启后，就会将花生壳服务端中的IP数据更新成你新的IP地址，然后你每次用你固定的域名来访问时，就会解析到你新的IP地址。

如下图：

双击你的域名，看有没有显示出“经检测，您的域名已激活并指向正确”！

OK，到这里，没有路由的同学，就可以直接用你的域名访问了！

有路由的同学，还得多操作一步：

再次进入路由管理页面，操作如下图：

点击“动态DNS”,这时如果你的上述操作都没问题的话，服务提供者那一栏已经自动填充成花生壳的网址了，然后输入用户名，密码，点击登录，如果显示为“连接成功”，那点击“保存”。

到这里，终于大功告成，看一下最终效果图：

可以看到，我用我的域名成功的访问到了我的网站。

PS:有时显示“验证成功”时也是个假象，一点击“保存”时，又显示为“验证失败”，再点击“登录”，多点击几次“保存”，直到它一直显示为“验证成功”即可，反正就是多试几次。

祝君好运