究竟為什么內網不能用公網地址訪問內網服務器。不是任何設備都存在此問題，拿cisco的設備來說，不同版本的ios，有的就沒有這個問題，而有的版本就有問題，netscreen的防火墻也沒有這個問題，關鍵是開發者有沒有意識到這個問題，通過修改ios，完全可以避免。對于這個問題，解決方法是有，比如內網dns欺騙、pix上得alias等等，但是究竟為什么有些設備不支持呢？今天我斗膽發個貼，因為有些結論純粹靠想，也沒有設備進行試驗，所以希望大家跟貼討論，達到拋磚引玉的目的，謝謝了先！

以下所有內容均針對出口是以太網的情況，對于串口接入，不會出現這種問題。

本地出口地址是5.5.5.1，isp對端是5.5.5.2（掩碼沒寫，稍后會分別討論）。 1.1.1.1和1.1.1.2是內網兩臺服務器的內網地址，被靜態映射到公網上的5.5.5.4和5.5.5.5. 內網的pc全部被pat到出口上。本地路由器一條缺省路由到isp對端。

我想這個拓撲應該是非常普遍的了，我認為就是因為這個非常普遍的拓撲，造成了很多人所反應的“內網不能通過公網地址訪問內網服務器”這個問題。我認為這個問題的關鍵原因就在于掩碼，就是在3層上做文章。

第一節

先來看看一般情況下，這個環境的掩碼的規劃。假設isp分配一段8地址子網給本地，這樣isp路由器接口和本地路由器接口共占用2個，網絡地址、廣播地址共占用2個，可用的一共4個，掩碼是248。對于圖示的拓撲，假設本地路由器出口掩碼是248（內網pc的pat地址相應的也就是掩碼為248），被映射的兩個地址掩碼也是248，這個最普遍的掩碼規劃，結果是：服務器、內網pc的pat地址、本地出口地址全部處于同一個網段。我們分析一個包的來龍去脈，來看看到底內網pc通過公網地址可否訪問到內網服務器。

假設內網一臺pc1.1.1.111發出ping 5.5.5.4（服務器的公網地址）請求，包源地址1.1.1.111，目的地址5.5.5.4，路由器收到這個包后，檢查路由表，發現5.5.5.4就位于自己的出口網段（假設出口為以太口），所以直接通過arp廣播請求5.5.5.4的mac地址，問題出現了，誰會應答這個請求呢？沒有人，所以，這種情況下（所有公網地址在同網段）當然不會通。不但內網訪問服務器不行，服務器之間通過公網地址訪問也不會通。

結論一：只要出口地址和服務器映射的公網地址在同網段，就有問題。

第二節

基于上面的討論，我們知道了只要出口地址和服務器映射的公網地址在同網段，就會發生“無人應答”的必然結果，所以我們這次改變掩碼規劃，將出口掩碼變長，變為252（isp掩碼也要相應改變）。在這里首先聲明一個要點，就是nat池的地址可以和出口不在同網段，以前有帖子也討論過，我自己一開始也迷惑，后來想明白了，只要isp路由器上有這些地址的路由就可以，下一條是本地路由器，這樣本地路由器便可以接受到這些包。

我們再次分析一個包的流程。內網pc1.1.1.111發出ping 5.5.5.4請求，包源地址1.1.1.111，目的地址5.5.5.4，路由器收到這個包后，檢查路由表，這一次，發現5.5.5.4不在本地的任何接口，所以走了缺省路由，將包發給了isp對端口，并在本地nat表中生成一條項目，記錄內網地址1.1.1.111被轉換成公網地址5.5.5.1加上端口號（假設端口號是8888），isp接受到的包，目的地址是5.5.5.4，源地址變成了5.5.5.1，它檢查它的路由表，發現5.5.5.4路由下一條是5.5.5.1，也就是本地路由器，所以又將此包發給本地路由器，經過了一次往返后，本地收到這個包，首先接受nat引擎的過慮，發現5.5.5.4正在被靜態映射到內網的1.1.1.1的主機，所以改變目的地址為1.1.1.1，源地址還是5.5.5.1，這樣就交給了路由引擎，查看路由表，1.1.1.1的路由當然有了，通過2層直接發給1.1.1.1，至此，去程的包分析完畢。

我們再分析回程的包。服務器1.1.1.1收到包后，準備回應給5.5.5.1（加端口號），發出reply包，源地址1.1.1.1，目的地址5.5.5.1:8888，本地路由器收到后，先給路由引擎，發現5.5.5.1就是出口地址，問題又來了，包的目的就是出口，而不是經過出口，這時候路由器該怎么辦呢？假如是從外向內來的包訪問5.5.5.1:8888，這時候會先提交個nat引擎，做nat轉換。但是這是從內向外發出的包，要先提交給路由引擎，我認為此時，由于收到的包是從內向外的，目的直接就是針對出口來的，而出口并沒有開啟什么端口，除非為了web管理，或者telnet管理開啟80或23端口，所以路由器會丟棄，因為沒有得到應答。

結論二：只要出口地址和內網pc的pat地址同網段，同樣會有問題

第三節

我們再變更掩碼方案，使得內網pc的pat地址和服務器映射地址同網段，但和出口不同網段。假設內網pc的pat地址為5.5.5.6（和服務器地址同網段）

我們再次分析一個包，內網pc1.1.1.111發出ping 5.5.5.4請求，包源地址1.1.1.111，目的地址5.5.5.4，路由器收到這個包后，檢查路由表，發現5.5.5.4不在本地的任何接口，所以走了缺省路由，將包發給了isp對端口，并在本地nat表中生成一條項目，記錄內網地址1.1.1.111被轉換成公網地址5.5.5.6加上端口號，isp接受到的包，目的地址是5.5.5.4，源地址變成了5.5.5.6，它檢查它的路由表，發現5.5.5.4路由下一條是5.5.5.1，也就是本地路由器，所以又將此包發給本地路由器，經過了一次往返后，本地收到這個包，首先接受nat引擎的過慮，發現5.5.5.4正在被靜態映射到內網的1.1.1.1的主機，所以改變目的地址為1.1.1.1，源地址還是5.5.5.6，這樣就交給了路由引擎，查看路由表，1.1.1.1的路由當然有了，通過2層直接發給1.1.1.1，至此，去程的包分析完畢。

我們再分析回程的包。服務器1.1.1.1收到包后，準備回應給5.5.5.6（加端口號），發出reply包，源地址1.1.1.1，目的地址5.5.5.6，本地路由器收到后，先給路由引擎，發現5.5.5.6不在本地任何端口下，所以走了缺省路由，發給isp，并在nat表中生成一條記錄，將1.1.1.1轉換為5.5.5.4，isp接受到包源地址變為5.5.5.4，目的地址是5.5.5.6，通過檢查路由表，發現5.5.5.6這個地址的路由下一條應該是5.5.5.1，也就是本地路由器，所以包又被發回來了，經過一次往返，本地收到了這個包，首先提交給nat引擎，發現目的地址5.5.5.6在nat表中對應著內網pc1.1.1.111，所以將5.5.5.6替換成1.1.1.111，源地址不變，還是5.5.5.4，然后提交給路由引擎，路由器在2層將包發給1.1.1.111，這時，1.1.1.111這臺主機收到了從5.5.5.4返回的包，而他一開始ping請求包，就是發給5.5.5.4這個公網地址的，所以ping通了?。。。?

結論三：內網pc的pat地址和服務器公網地址同網段，同時和出口地址不同網段，這樣沒有問題。