網站在內網正常，外網連不進來

網路架構網站故障排除

terryliu 2021-10-01 09:40:09 ‧ 3578 瀏覽

各位先進早安！
小弟前天發了一篇文如下：
https://ithelp.ithome.com.tw/questions/10205533
是寬頻網路公司換路由器後，網站連不上的狀況⋯
後續發現：

在內網中用網址連，一切正常 (因為路由器會知道就是它自己)
在外網怎麼連都進不來
因為該路由器非常特別，設備本身的IP不能設在 .254
本次的變動又不是單一變動，設備本身被迫改為 .1
外部 IP 又因為換設備而必須更換
實在不知道該如何除錯，還望各位先進惠賜意見，感激不盡！

看更多先前的討論...收起先前的討論...

terryliu iT邦新手 4 級 ‧ 2021-10-01 09:41:12 檢舉

目前開 port有：
25 SMTP
53 DNS
80 HTTP
110 POP3
443 HTTPS

froce iT邦大師 1 級 ‧ 2021-10-01 10:07:48 檢舉

1. 你server的gateway有設成.1嗎?
2. router有做port mapping嗎?
3. 確定ISP有開放80 port嗎?

咖咖拉 iT邦好手 1 級 ‧ 2021-10-01 10:08:16 檢舉

路由器的來源是小烏龜嗎?
防火牆是用哪家?

terryliu iT邦新手 4 級 ‧ 2021-10-01 10:43:34 檢舉

Force 大大您好，謝謝回應
1. Server Gateway 有改，Linux Server (Redhat 9) 可以連出去，SSH 也連得進來
2. 這個 Router 只能由寬頻公司開埠，不能由 User 管理 (真的很不方便) Port 有 Mapping 到設為固定IP的 Server 上
3. ISP 一直說有開 80 埠

terryliu iT邦新手 4 級 ‧ 2021-10-01 10:45:41 檢舉

咖咖拉大大您好，謝謝回應
路由器就是寬頻公司的那台 (找不到哪家生產的⋯好像叫網格？)
沒有另外加裝防火牆

terryliu iT邦新手 4 級 ‧ 2021-10-01 10:47:04 檢舉

會不會是我 Linux Server 上要改什麼防火牆規則？
我還在燒腦中...

froce iT邦大師 1 級 ‧ 2021-10-01 11:19:18 檢舉

這樣的話看看能不能讓ISP的router只有撥號功能，剩下的由你自己能控制的防火牆去設定。
linux server你可以試試看先把防火牆disable看看。

另外自己要架站建議還是中華電信。

harrytsai iT邦新手 1 級 ‧ 2021-10-01 11:24:02 檢舉

外網的話就得看DNS指向的問題,DNS指向到路由,而路由則需另外設定對到內部主機以及服務

terryliu iT邦新手 4 級 ‧ 2021-10-01 12:37:52 檢舉

Force 大大，感謝回覆
寬頻公司(大大寬頻)也有建議這樣解決⋯
他們把 Router 改為 Bridge 模式，後面開埠那些由我自備的分享器管理
但我可能傾向換回原來該公司提供的華為 Router 就好⋯

terryliu iT邦新手 4 級 ‧ 2021-10-01 12:40:28 檢舉

HarryTsai大大，謝謝賜教
DNS 應該是沒錯的，因為其他服務都正常
我仍然有點懷疑他們的新款路由器

terryliu iT邦新手 4 級 ‧ 2021-10-01 12:43:15 檢舉

剛剛想到，真要釐清的話，可能要找一部小電腦，架一個簡單的網站，換下我原來的網路主機，如果會通就是我的 Linux Server 設定有問題，若是也不通，那就是路由器有問題⋯

terryliu iT邦新手 4 級 ‧ 2021-10-01 12:45:03 檢舉

對了，我已經下了指令，關掉 iptables 了，仍然無法由外部連到 httpd 服務⋯
指令是 serivce iptables stop 2

咖咖拉 iT邦好手 1 級 ‧ 2021-10-01 12:58:55 檢舉

linux server 是架 ubuntu 嗎?

窮嘶發發發 iT邦高手 1 級 ‧ 2021-10-01 14:29:20 檢舉

1. 先確認大大寬頻給的是固定IP，不能是私人IP範圍 10.0.0.0/8，172.16.0.0/12，169.254.0.0/12，192.168.0.0/16，這四段都不行，也不能是浮動IP
2. DNS 關於網站的 IP 也不能是上面四個網段的IP
3. 路由器要開 NAT透通，允許內部直接訪問固定IP

個人印象中第三點很多第四台業者都沒有，這各無解，因為消費型的要讓他提供企業服務很困難，個人建議，買一台多 WAN 分享器，然後申請一路中華的路由，讓網站使用中華的路由出去，這樣會比較快

還有你說開了那堆 PORT ，你有用 PORT SCAN 在家裡掃看看
這些 PORT是不是有開，如果你路由器做了端口虛擬伺服器的設定
那外面掃不到，那顯然路由器本身的設定還是有問題
先去看一下關於防火牆的原則或是一些路由器原則的設定
是不是哪邊阻攔了，也可以開啟遠端管理，透過外面去看看確認 80埠沒被使用

雷伊 iT邦高手 1 級 ‧ 2021-10-01 16:32:02 檢舉

你的Server對應的閘道也全都有改成1嗎？

echochio iT邦高手 1 級 ‧ 2021-10-01 17:07:23 檢舉

您說 SSH 也連得進來 .....
是指由外面網路進得來嗎?
例如 4G 網路可以 SSH 到您的 LINUX
先把 SSH 由外面進得來弄通
把web 改雙 port 例如 81+80
用 IP 把 81 port 的弄通
80 請ISP 弄通

terryliu iT邦新手 4 級 ‧ 2021-10-01 22:52:27 檢舉

咖咖拉大大，謝謝回應
我的主機很舊，其實只是 RedHat 9 而已啦⋯

terryliu iT邦新手 4 級 ‧ 2021-10-01 23:10:08 檢舉

窮嘶發發發大大，謝謝賜教！
1. 有確認大大寬頻給的是真實IP，也確實綁定了，這點是確定的。
2. DNS 關於網站的 IP 也不是上面四個網段的IP，沒錯！
3. 路由器要開 NAT透通，允許內部直接訪問固定IP，這也沒問題⋯

我要求的 PORT 都有開，我真心覺得是路由器本身的問題，因為今天傍晚他們來換回原來華為的 Router 我把其他東西改一改，網站就完全正常了！
工程人員說，這家 Ugrid 有承諾要檢查並改版韌體，大概就是發現真的有 BUG 囉！