Novo servidor, pode acessar na LAN, mas não na internet mais ampla. Nenhum firewall no lugar

Question

Novo servidor, pode acessar na LAN, mas não na internet mais ampla. Nenhum firewall no lugar

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Eu tenho um servidor Ubuntu 18.04 que aceita solicitações SSH e HTTP de outro PC na LAN, mas não é acessível do outro lado do meu Comcast Gateway.

Eu tenho um PC Windows 10 fisicamente conectado via ethernet ao mesmo gateway Comcast que o servidor, e do Windows 10 PC eu posso usar Putty, Filezilla e Chrome (usando endereço IP ou nome de domínio DNS em uma web navegador) para acessar o servidor eo site no servidor. Nesse caso, através da LAN, o navegador no PC com o Windows 10 irá mesmo redirecionar para o HTTPS! Mas é tudo um truque !!! Usando meu telefone celular (usando a rede Verizon e não conectado a LAN WiFi) não consigo acessar o servidor com o JuiceSSH ou usando o endereço IP ou o nome de domínio no Chrome. As configurações DHCP ou IP estático não afetam o acesso fora da LAN. Usando o DHCP no servidor, só consigo acessar o endereço IP de outra máquina na LAN.

Eu desativei o UFW. Desativei o firewall do Gateway da Comcast.

O que poderia estar errado? Como posso diagnosticar o problema?

networking

por Derek Roberts 26.05.2018 / 06:45

2 respostas

0

A menos que você tenha um intervalo de IP público (altamente improvável), sua conexão à Internet está usando o NAT. Endereços internos não podem ser acessados externamente (o que é basicamente Uma Coisa Boa dada a segurança terrivelmente fraca dos sistemas operacionais de desktop amplamente utilizados). Se você deseja expor serviços à Internet, é necessário configurar o encaminhamento de porta no roteador.

por 26.05.2018 / 07:50

Tags networking

Problema de montagem de volume ntfs corrompido Como esconder o nome da aba do firefox ativo do gerenciador de tarefas do KDE?

score 0 · Accepted Answer

Parece que a tradução de endereços de rede (ou abreviado por NAT) está em vigor.

O endereço IP do servidor está dentro de um desses intervalos?

10.0.0.0 .. 10.255.255.255
172.16.0.0 .. 172.31.255.255
192.168.0.0 .. 192.168.255.255
100.64.0.0 .. 100.127.255.255

Se sim, então você está por trás de um NAT: isso significa que você pode fazer conexões de saída muito bem, mas as conexões de entrada da Internet não encontrarão o caminho para o servidor sem algumas etapas extras.

Existe apenas um número finito de endereços IP, e não há o suficiente para que todos os usuários da Internet tenham seu próprio endereço IP público globalmente roteável. É por isso que os provedores de serviços geralmente implementam o NAT, para estender ainda mais seu alcance de endereços. (A escassez de endereços IP só vai piorar, e é por isso que o IPv6 está ficando cada vez mais comum.)

Se o endereço IP estiver dentro de um dos três primeiros intervalos listados, o NAT poderá ser implementado pelo Comcast Gateway e você poderá desativá-lo, para que todos os sistemas da sua rede obtenham um IP público individual endereço. (Isso também significa que todos os seus sistemas estarão sendo aleatoriamente investigados e atacados por worms e outros malwares que estejam em roaming na Internet, portanto, se você seguir esse caminho, mantenha todos os seus sistemas atualizados!)

Como alternativa, você pode configurar o encaminhamento de porta no Comcast Gateway: basicamente, o gateway contém um único endereço IP público compartilhado entre todos os sistemas conectados ao Comcast Gateway. Usando as configurações no Gateway, você deve ser capaz de definir regras como "conexões de entrada de qualquer lugar para a porta TCP 80 (do IP público compartilhado) devem ser roteadas para a porta 80 de este endereço IP em seu rede local "para permitir que as conexões HTTP de entrada funcionem, ou similarmente para a porta TCP 22 para fazer o SSH funcionar. Se você tiver o UPnP e / ou o NAT-PMP ativado no Gateway, alguns softwares (ou dispositivos) poderão solicitar encaminhamentos de porta temporários automaticamente, sem a necessidade de configurá-los manualmente.

O quarto intervalo de endereços IP que listei é especialmente lamentável: é o novo intervalo de NAT especificado em RFC 6598 para o Operador -Grade NAT. É mais comumente usado com assinaturas de dados móveis: nesse caso, o NAT é executado nos sistemas do provedor de serviços e não é configurável pelo assinante individual, portanto, você não pode usar essa assinatura para lidar com nenhuma conexão de entrada.