我看到路由器中有wan和lan地址,
lan地址是指路由器在局域網中的IP地址,
wan地址是不是路由器在外網中的IP地址,也就是
外網分配給該路由器的地址?
如果是,那么也就是說這兩個IP地址都是指
同一個路由器?
uj5u.com熱心網友回復:
可以這么理解,外網分配一般是從運營商那里自動獲取的地址;lan地址用戶可控,用戶自行分配的私網地址,可以是通過dhcp動態獲取,也可以手工靜態指定。uj5u.com熱心網友回復:
還有點奇怪:既然wan和lan的IP指向同一臺路由器,我在內網用瀏覽器訪問lan的IP,可以打開路由器設定網頁;我想用瀏覽器訪問wan的IP(不管是在內網中還是在internet的外網中),就不可以。請問這是為什么?uj5u.com熱心網友回復:
”這兩個IP地址都是指同一個路由器“?不能這樣理解 ,因為IP地址是指路由器上各自介面。uj5u.com熱心網友回復:
同一路由器不同的網口,如果路由器沒做其他限制的話,一般也是可以的uj5u.com熱心網友回復:
wan口是沒有打開80或者443埠而已,而且wan口運營商提供的ip是自己內網dhcp池里的ip地址,這些地址是不允許開啟80和443埠的。http和https是無法打開訪問的。uj5u.com熱心網友回復:
那可不可以這樣理解:一臺路由器上的wan口和lan口,分別系結兩個網孔,就有wan網卡的IP地址和lan網卡的IP地址。uj5u.com熱心網友回復:
先說結論吧。首先,確實,LAN口的IP和WAN口的IP都指同一臺設備;
其次,外網訪問WAN口無法訪問,是因為運營商做了限制,所有運營商默認都會封禁80、443,有的運營商還會封禁8080這些非標準埠;
再次,內網訪問不了WAN口,并不像樓上所說的運營商限制,因為你的流量還在網關設備里沒出去,根本就沒到運營商,之所以訪問不了,是因為出于安全性考慮,絕大多數路由器不允許從WAN側訪問,這是路由器本身的安全措施,部分路由器可以放開這個限制,但默認一定是關閉的。
LAN和WAN存在的意義在于,既為局域網提供網路結構的基礎,又將內網和外網隔離開來,形成一道可控的安全閘。
防火墻上有一個trust、untrust的概念,表示某一區域是可信任的還是不可信任的,內網就是典型的trust區域,外網是典型的untrust區域(這就是為什么絕大多數路由器不允許WAN側訪問的原因)。
除了區域的概念,還有一個方向的概念(包括埠和方向兩個要素),從內網訪問LAN口,這個流量屬于“LAN口的入方向”,從外網訪問WAN口,這屬于“WAN口的入方向”。
結合起來看就是:流量訪問WAN介面,默認當成非安全訪問,阻止一切流量,一定要人為甄別和放行(添加相應的防火墻策略);而流量訪問LAN介面則默認當成安全的,當然也可以由管理員根據自身需求進行限制。
實際上,防火墻上連WAN/LAN這個概念都不一定存在,它只關心介面,介面作業在什么模式(路由還是NAT),哪個是內側哪個是外側,如何映射,如何路由,在這個介面上,從哪個方向阻止誰,又從哪個方向放行誰。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/205085.html
標籤:交換及路由技術
上一篇:Python3.9的7個特性
下一篇:資料科學面試應關注的6個要點