爱快用户可以按照我的方法添加DNS反向代理,也就是hosts,在网络设置--DNS设置--DNS反向代理--添加信息如下图
其他用户根据自己的设备,自行添加hosts也可以解决
《DNS 解析端口回流全解析》
一、DNS 解析端口回流现象
DNS解析端口回流问题是在特定网络环境下产生的。例如,公司内网有一台 web 服务器,地址为192.168.100.100,web 服务端口为 80,且为其申请了 DNS A 记录的域名解析服务,解析记录是公司出口 ip 地址100.100.100.100。在办公区网络环境里,还有内网 192.168.10.0 网段,需要通过申请的域名来访问公司内网的这台 web 服务器。做法是在防火墙的出口做一条端口映射,100.100.100.100:80 到 192.168.100.100:80 的端口映射。然而,做好端口映射以后,其他外部网络通过域名访问公司的 web 服务是正常的,但公司内网用户通过域名访问公司自己的 web 服务却无法访问,而内网用户通过私有地址访问是正常的。
这种情况的产生是因为做好端口映射以后,访问 web 服务的流量在响应的时候流量没有回流到防火墙导致的。具体分析如下:假如是 192.168.10.10 通过申请的域名访问 192.168.100.100 的 web 服务,假设访问的源端口是10000,目标端口是 80。数据包最终会被路由到防火墙上,防火墙检查访问的目的地址,匹配到端口映射策略,将目标地址改为对 192.168.100.100 的访问,建立起一个针对目标 ip 地址转换的 NAT 会话表。然后数据包被转发到 192.168.100.100 服务器上,服务器响应请求,将源目 ip 地址及端口进行倒转,并将数据包交给它的网关处理。但 R1 路由器检查访问者的源 ip 和目标 ip 地址,发现目标 ip 地址是内网一个可路由的地址,就会将数据包直接路由到内网主机上。内网主机接收到数据包,检查发现其本身并没有这样一个 http 会话与之相匹配,发起的是对 100.100.100.100:80 的访问,所以就会丢弃这个数据包,导致内网用户通过域名或者公网 ip 地址访问自己的内网服务器不通的现象。
二、常见设备的回流问题
(一)思科与华为防火墙
思科防火墙在做端口映射时分为 static (inside,outside) 和 static (inside,inside) 两个方向。在解决端口回流问题时有两个关键步骤。第一步是内网对特定公网地址的访问时,将源地址转换为防火墙内网口 inside 对该公网地址的访问;第二步是内网对特定公网地址及端口的访问,将目标地址转换为对内网对应地址及端口的访问。
华为防火墙解决端口回流问题的方式与思科略有不同。华为防火墙没有思科那样的方向区分问题,只需要类似于思科第一步的操作即可。具体来说,内网主机在访问时,将 web 服务的响应流量回流到防火墙上来接受处理。在流量经过防火墙时,将源地址做一个修改,使得路由器在路由数据包时将数据包路由到防火墙,而不是在内网直接路由。防火墙记录相应修改并进行源地址转换,维护 NAT 会话表,当服务器接收到数据包后,发现源 IP 地址是外网 IP 地址,数据流量就会回流到防火墙,防火墙再进行源 NAT 的还原,并将数据包路由到内网主机中。
(二)群晖 NAS
以群晖 NAS 为例,在不同网络环境下可能会出现端口回流问题。例如,内网通过域名访问外网中本机的公网 IP 请求时,路由器可能会自动屏蔽或抛弃该请求。解决方法有多种,如在 Hosts 文件中指定内网地址,强制将域名解析到内网 IP 地址,但这种方法比较麻烦,每台电脑都要设置且脱离内网后需改回;还可以做端口回环设置,根据网络文章在虚拟服务器中为每一个端口单独设置,但如果已开 DMZ 主机,设置起来会很麻烦且服务端口多时更繁琐,该功能还依赖路由器必须有此功能,一般价格较高的家用或企业路由器及软路由才有;另外,还可以在群晖 NAS 上建一个内网 DNS Server,即 DNS 解析服务器做域名劫持,好处是对路由器无硬件要求,不需要每台电脑设置,可指定域名且能避开运营商自带的劣质解析服务器。同时,也可以通过 SwitchHosts 工具实现内网解析群晖域名,或者将笔记本电脑指定为固定 IP 并指定群晖内网 IP 为 DNS 服务器来实现内网域名访问群晖。
三、DNS 解析端口回流的影响
(一)对网络访问速度的影响
DNS解析端口回流问题可能会对网络访问速度产生一定的影响。当出现端口回流问题时,数据包的路由过程变得复杂,可能会增加网络延迟。例如,在思科和华为防火墙的场景中,为了解决端口回流问题,需要进行源地址转换和维护 NAT 会话表等操作,这些操作会消耗一定的时间,从而影响网络访问速度。根据写作素材中的内容,域名解析是一个比较复杂的过程,对每一级域名服务器发起请求都会花费一定的时间,而端口回流问题可能会使这个过程更加耗时。
此外,在群晖 NAS 的场景中,如果出现端口回流问题,可能需要通过复杂的设置来解决,如在群晖 NAS 上建一个内网 DNS Server 或者使用 SwitchHosts 工具等。这些设置可能会增加网络的复杂性,从而影响网络访问速度。例如,使用群晖 NAS 作为 DNS 服务器时,虽然通过测试发现解析速度与外部 DNS 服务器速度基本一致,但如果全屋手机、电视、平板笔记本都用群晖的 NAS 作为 DNS 服务器,其并发稳定性尚未可知,可能会对网络访问速度产生影响。
(二)对设备稳定性的影响
端口回流问题也可能会对设备稳定性产生影响。在出现端口回流问题时,设备需要进行额外的处理来解决这个问题,这可能会增加设备的负担,从而影响设备的稳定性。例如,在思科和华为防火墙的场景中,为了解决端口回流问题,需要进行源地址转换和维护 NAT 会话表等操作,这些操作可能会占用设备的资源,从而影响设备的稳定性。
在群晖 NAS 的场景中,如果出现端口回流问题,可能需要关闭 Docker 才能实现内网访问群晖域名解析,然后再打开 Docker。这种操作可能会对设备的稳定性产生影响,尤其是在设备重启或者系统资源占用高的情况下,DNS Server 服务可能会不稳定,从而影响家里人上网。例如,在你不在家的时候,一旦 NAS 出现情况,家人一般不会处理,确实是个麻烦。
综上所述,DNS 解析端口回流问题可能会对网络访问速度和设备稳定性产生一定的影响。在实际应用中,我们需要根据具体情况采取相应的措施来解决这个问题,以提高网络访问速度和设备稳定性。
四、解决端口回流问题的思路
(一)思科与华为防火墙的解决方法及优缺点
1.方法:思科防火墙在解决端口回流问题时有两个关键步骤,第一步是内网对特定公网地址的访问时,将源地址转换为防火墙内网口 inside 对该公网地址的访问;第二步是内网对特定公网地址及端口的访问,将目标地址转换为对内网对应地址及端口的访问。华为防火墙则只需要类似于思科第一步的操作,在流量经过防火墙时,将源地址做修改,使数据回流到防火墙接受处理。
2.优点:对于企业级网络环境,具有高度可定制性和扩展性,可以根据具体业务需求进行定制化设置。能够有效解决端口回流问题,确保内网主机通过公网访问内网服务的稳定性。
3.缺点:操作相对复杂,需要专业人员进行业务上的定制。对于一些小型网络环境或者缺乏专业技术人员的情况,可能不太适用。
(二)群晖 NAS 的解决方法及优缺点
4.Hosts 文件指定内网地址:
1.方法:在 Hosts 文件中指定内网地址,强制将域名解析到内网 IP 地址。
2.优点:对于只有少数设备需要访问 NAS 的情况,设置相对简单直接。不需要依赖特定的路由器功能。
3.缺点:内网中每一台电脑都要如此设置,比较麻烦。而且一旦该电脑脱离内网在外网使用,又需要改回去。手机等通过路由器访问的 NAS app 无法改 Hosts 文件。
5.端口回环设置:
1.方法:在虚拟服务器中为每一个端口单独设置端口回环。
2.优点:可以解决端口回流问题,使内网设备通过域名直接访问 NAS。
3.缺点:如果已经开了 DMZ 主机,设置起来意义不大。服务端口多时,设置非常麻烦。该功能依赖路由器必须有此功能,一般价格较高的家用或企业路由器及软路由才有,小米有些高端的无线路由器还不一定有该功能。
6.群晖 NAS 上建内网 DNS Server:
1.方法:在群晖 NAS 上建一个内网 DNS Server,即 DNS 解析服务器做域名劫持。主路由器收到指定域名解析请求的时候,先将请求转跳到内网的 DNS 服务器寻找域名对应的 IP 地址,如果找不到,再转跳到原本路由器上营运商提供的 DNS 服务器上解析。
2.优点:对路由器无硬件要求,几乎所有家用路由器都可以指定使用特定的内网 DNS 解析服务器。不需要每一台电脑上设置,二级路由器或手机上也不用设置,任何连入该内网的设备都可以直接访问。可以指定域名且能避开运营商自带的劣质解析服务器。
3.缺点:NAS 一旦重启,自带的 QC 和 DDNS 服务,还有 DDNS-GO 等服务都可能失效,无法访问公网域名然后拉取。
(三)SwitchHosts 工具和笔记本单独配置 DNS 服务器
7.SwitchHosts 工具:
1.方法:在 hosts 文件最后一行加一条 “群晖内网 IP 群晖域名”,使用 SwitchHosts 工具实现内网解析群晖域名。
2.优点:不需要群晖开启 DNS Server,对于嫌麻烦或者担心太复杂的人使用较为方便。切换后并不影响访问其他网站。
3.缺点:可能不太适用于大规模的网络环境或者需要对多个设备进行统一管理的情况。
8.笔记本单独配置 DNS 服务器:
1.方法:把笔记本电脑指定为固定 ip,同时指定群晖的内网 ip 为 DNS 服务器。
2.优点:可以实现指定设备单独配置使用 DNS Server 实现内网域名访问群晖,而其他设备用路由器的常规 DNS,不影响其他设备上网。
3.缺点:需要对笔记本电脑进行特定的设置,对于不熟悉网络设置的用户可能有一定难度。
综上所述,不同的解决端口回流问题的方法各有优缺点,用户可以根据自己的网络环境和需求选择适合的方法。
