Não é possível executar telnet para a porta 80 no servidor na DMZ

0

Eu tenho um roteador Cisco RV325. Eu não sou capaz de telnet para a porta 80 para o servidor na porta DMZ.

Por que não consigo fazer o telnet para a porta 80?

Aqui está o que eu fiz:

  • Conecte o servidor IIS à porta DMZ
    • Este servidor tem um IP estático interno de 192.168.3.70
    • Desligou o Firewall do Windows
  • Conecte outros computadores da LAN a portas LAN
    • Esses computadores estão na sub-rede 192.168.3.X
  • Atribuído um IP estático externo ao WAN1 e um segundo IP externo ao DMZ

  • AdicionadasregrasdeacessoparapermitirHTTPeHTTPSenegartodootráfegorestantenaportaDMZ.

De acordo com a Cisco :

Keep in mind that access rules are ordered. That is, when the device compares a packet against the rules, it searches from top to bottom and applies the policy for the first rule that matches it, and ignores all subsequent rules

NOTA: As regras de acesso sem prioridade são aquelas criadas pelo roteador, por padrão.

Eu então tentei telnet de um computador externo (um computador fora da rede) para a porta 80 do IP externo atribuído ao DMZ, e ele falha. Por uma boa medida, eu também tentei telnet para a porta 21, e também falha.

Mas o log do roteador mostra:

Não entendo por que estou vendo o ALLOW para a tentativa de telnet na porta 21. E não entendo por que meu telnet para a porta 80 não está funcionando.

No final, eu só quero poder fazer telnet para a porta 80.

    
por devlin carnate 30.06.2017 / 21:34

1 resposta

0

Eu finalmente descobri isso juntando informações de duas outras fontes.

Primeiro, o post de Sleeman aqui declara:

Let's say your ISP gives you aaa.bbb.ccc.192 - 195 with a subnet of 255.255.255.252.

This means all IP's in that range have the same subnet AND. . .

.192 is the 'network' address. .193 is the 'gateway' address **this is the address you use in the 'setup' page of the RV042. .194 is the only usable public IP in the DMZ. .195 is the 'broadcast' address.

If you get a .248 block with a .192 network, then you end up with 5 usuable IP's in the DMZ (you need to run the DMZ port through a switch to use all more than 1 IP).

Isso me fez perceber que tenho o endereço IP externo errado atribuído à porta DMZ. Meus endereços ISP atribuídos x.x.x.17 - 22, com sub-rede 255.255.255.248. Eu tinha atribuído x.x.x.17 à porta DMZ e x.x.x.18 à porta WAN1.

O sintoma desse problema foi apontado acima nos comentários: A regra de acesso WAN1 mostrou um RANGE como o Destino.

Então eu mudei a configuração da porta DMZ para usar x.x.x.20. Como no endereço IP e o da WAN1 estão na mesma sub-rede, também mudei a porta da DMZ de "Subnet" para "Range".

A segunda parte da solução foi a configuração do endereço IP no próprio servidor IIS. Eu li esta solução para outro roteador no RV série, que disse:

Then, on the server you would put in the IP address that it will be (public one that you entered above), for the subnet mask you would use what your DataCenter gave you...and for the Gateway you would put the same IP that the datacenter gave you.

Por isso, alterei o endereço IP no servidor IIS para x.x.x.20 e configurei o gateway para o gateway atribuído pelo meu provedor (que também é o mesmo gateway para a WAN1).

Isso funcionou. Agora sou capaz de fazer telnet para a porta 80 do mundo externo.

    
por 03.07.2017 / 23:43