Ek het 'n taak gehad - om 'n diens op die D-Link DFL-roeteerder te publiseer by 'n IP-adres wat nie aan die wan-koppelvlak gekoppel is nie. Maar ek kon nie instruksies op die internet vind wat hierdie probleem sou oplos nie, so ek het my eie geskryf.
Aanvanklike data (alle adresse word as 'n voorbeeld geneem)
Webbediener op interne netwerk met IP: 192.168.0.2 (poort 8080).
Poel eksterne wit adresse wat deur die verskaffer toegeken is: , verskaffer poort: 5.255.255.1, die oorblywende "ons" adresse 5.255.255.2-14.
Laat die adresse 5.255.255.2-10 ons gebruik dit vir NAT en ander behoeftes. Die verskafferskakel is aan die poort gekoppel wan1. Om te koppel wan1 adres gekoppel 5.255.255.2.
Taak: publiseer 'n interne webbediener na 'n publieke adres 5.255.255.11, by die hawe 80.
Die oplossing is kort
Om 'n diens op 'n IP te publiseer wat nie ooreenstem met die koppelvlakadres nie, sal jy nodig hê:
- Dui aan die router dat die gepubliseerde ip intern deursoek moet word deur .
- publikasie sodat die router aan bure reageer dat die gepubliseerde adres daaraan behoort.
- firewall reël (), wat binne die router die bestemmingsadres sal verander na die adres van die finale bediener.
- Firewall-reël (Laat toe), wat 'n verbinding vanaf die eksterne koppelvlak na die gepubliseerde adres binne die router sal toelaat
En nou 'n bietjie meer oor elke punt
Opleiding
I. Kom ons skep eers "Objekte" vir al ons behoeftes (nou sal ek die proses vir die webkoppelvlak wys, ek dink diegene wat met die konsole werk sal aksies na konsole-opdragte kan oordra).
1. Voeg twee ipv4-adresse by die adresboek:
Webbediener = 192.168.0.2
publieke-webbediener = 5.255.255.11
2. Dan voeg ons poorte by die lys dienste:
int_http = tcp:8080
Die hawe tcp:80 is reeds teenwoordig in die lys van dienste, genoem http, het 'n beperking in 2000 sessies, kan die limiet aangepas word.
oDit het geblyk dat dit nie nodig is om 'n bedienerpoort op die interne netwerk by te voeg nie, maar ek los dit omdat ... 'n voorbeeld mag nodig wees vir 'n openbare hawe, maar hulle word op dieselfde manier bygevoeg
II. Kom ons beweeg direk na die oplossing.
Item 1 и 2 gekombineer kan word, want Wanneer 'n statiese roete bygevoeg word, is dit moontlik om onmiddellik ARP te verskaf. Om eerlik te wees, ek het nie dadelik hierdie geleentheid gesien nie en die publikasie met die hand opgestel; die router het ook sulke funksionaliteit.
1. Dus, as jy nog nie 'n klomp roeteringstabelle en reëls daarvoor geskep het nie, dan kan alles in die hoof roeteringtabel gedoen word, dit word genoem hoof.
Tafel hoofdaar sal 'n verstekpad na die netwerk wees 5.255.255.0/28 per koppelvlak wan1. en van hierdie roete pas by die metrieke wat in die koppelvlakinstellings gespesifiseer is (by verstek 100).
Om te verhoed dat die poort pakkies terugstuur na die koppelvlak wan1, moet jy 'n statiese roete na die adres skep publieke-webbediener na die koppelvlak kern met metrieke minder 100 (kleiner koppelvlakmetriek wan1) - dan sal die poort dit “binne-in homself” soek.
2. Daar, wanneer jy 'n roete skep, kan jy Proxy ARP instel sodat die poort op ARP-versoeke reageer. Voeg 'n WAN-koppelvlak by op die Proxy ARP-oortjie.
skep 'n roete, maar moenie OK klik nie, maar gaan na die tweede Proxy ARP-oortjie:
ARP, voeg 'n koppelvlak by wan1:
3. Laastens gaan ons oor na die opstel van NAT en firewall (dit is reeds in voldoende detail beskryf in ).
Ons skep 'n SAT reël sodat in die pakkie van die koppelvlak wan1 met bestemmingsadres publieke-webbediener hawe van bestemming http, waarna ons 'n roete vir die koppelvlak gekonfigureer het kern, vervang die bestemmingsadres met die interne adres van ons bediener Webbediener en port op 8080.
4. En die volgende stap is om so 'n pakkie toe te laat - skep 'n Allow-reël met soortgelyke parameters (dit is gerieflik om die SAT-reël te kopieer en die aksie met Toe te vervang).
opmerkingIn hierdie geval moet die reëls presies in hierdie volgorde wees: eers SAT, dan Laat toe:
Onthou dat die SAT-reël bo die toelaat-reël moet wees. Dit is te wyte aan die feit dat 'n pakkie, wanneer dit in 'n toelaat- of ontkenningsreël val, nie verder deur die "Reëls"-tabel gaan nie.
In hierdie geval word die toelaat-reël ook geskep vir die publieke hawe en adres:
Neem asseblief kennis dat die protokol, koppelvlak en netwerkparameters in die toelaatreël dieselfde is as in die reël met die "SAT"-aksie.
Dit het vir my gelyk of die pakkie reeds 'n reël vroeër deur die SAT-reël verwerk is, en die bestemmingsadres en poort was nuut, maar nee, dit lyk asof die vervanging iewers plaasvind nadat alle ander reëls verwerk is.
В Die funksionaliteit van SAT word diep onthul; dit bied baie interessante moontlikhede. My doel was om 'n kwessie te dek wat nie in hierdie instruksie en in ander instruksies gedek is nie. Ek hoop die instruksies sal nuttig en verstaanbaar wees.
Bron: will.com