كانت لدي مهمة - نشر خدمة على جهاز توجيه D-Link DFL على عنوان IP غير مرتبط بواجهة الشبكة الواسعة. لكنني لم أتمكن من العثور على تعليمات على الإنترنت من شأنها أن تحل هذه المشكلة، لذلك كتبت تعليماتي الخاصة.
البيانات الأولية (جميع العناوين مأخوذة كمثال)
خادم الويب على الشبكة الداخلية مع IP: 192.168.0.2 (ميناء 8080).
مجموعة العناوين البيضاء الخارجية المخصصة من قبل الموفر: بوابة المزود: 5.255.255.1، عناوين "خاصتنا" المتبقية 5.255.255.2-14.
دع العناوين 5.255.255.2-10 نحن نستخدمه لـ NAT والاحتياجات الأخرى. رابط الموفر متصل بالمنفذ wan1. للتواصل wan1 العنوان مرتبط 5.255.255.2.
المهمة: نشر خادم ويب داخلي إلى عنوان عام 5.255.255.11، на порту 80.
الحل مختصر
لنشر خدمة على عنوان IP لا يتوافق مع عنوان الواجهة، ستحتاج إلى ما يلي:
- أشر إلى جهاز التوجيه أنه يجب البحث عن عنوان IP المنشور داخليًا باستخدام .
- منشور بحيث يستجيب جهاز التوجيه للجيران بأن العنوان المنشور يخصه.
- قاعدة جدار الحماية ()، والذي سيغير عنوان الوجهة داخل جهاز التوجيه إلى عنوان الخادم النهائي.
- قاعدة جدار الحماية (السماح)، والتي ستسمح بالاتصال من الواجهة الخارجية إلى العنوان المنشور داخل جهاز التوجيه
والآن المزيد عن كل نقطة
تدريب
I. أولاً، لنقم بإنشاء "كائنات" لجميع احتياجاتنا (الآن سأعرض العملية الخاصة بواجهة الويب، وأعتقد أن أولئك الذين يعملون مع وحدة التحكم سيكونون قادرين على نقل الإجراءات إلى أوامر وحدة التحكم).
1. أضف عنوانين IPv4 إلى دفتر العناوين:
خادم الويب = 192.168.0.2
خادم الويب العام = 5.255.255.11
2. ثم نضيف المنافذ إلى قائمة الخدمات:
int_http = تكب:8080
ميناء تكب:80 موجود بالفعل في قائمة الخدمات، ودعا HTTP، له حدود في 2000 جلسات، يمكن تعديل الحد.
ойاتضح أنه لا داعي لإضافة منفذ خادم على الشبكة الداخلية، لكني أتركه لأن... قد تكون هناك حاجة إلى مثال لمنفذ عام، ولكن تتم إضافتها بنفس الطريقة
II. دعنا ننتقل مباشرة إلى الحل.
بند 1 и 2 يمكن الجمع بينهما، لأن عند إضافة مسار ثابت، فمن الممكن توفير ARP على الفور. لأكون صادقًا، لم أر هذه الفرصة على الفور وقمت بإعداد المنشور يدويًا، كما يحتوي جهاز التوجيه أيضًا على مثل هذه الوظيفة.
1. لذا، إذا لم تقم بعد بإنشاء مجموعة من جداول التوجيه وقواعدها، فيمكن القيام بكل شيء في جدول التوجيه الرئيسي، ويسمى رئيسي.
الطاولة رئيسيسيكون هناك مسار افتراضي للشبكة 5.255.255.0/28 لكل واجهة wan1. و يتطابق هذا المسار مع المقياس المحدد في إعدادات الواجهة (افتراضيًا 100).
لمنع البوابة من إرسال الحزم مرة أخرى إلى الواجهة wan1، فأنت بحاجة إلى إنشاء مسار ثابت إلى العنوان خادم الويب العام إلى الواجهة النواة مع متري أقل 100 (مقياس واجهة أصغر wan1) - عندها ستبحث البوابة عنه "داخل نفسها".
2. هناك، عند إنشاء مسار، يمكنك تكوين Proxy ARP بحيث تستجيب البوابة لطلبات ARP. في علامة التبويب Proxy ARP، قم بإضافة واجهة WAN.
قم بإنشاء مسار، ولكن لا تنقر فوق "موافق"، ولكن انتقل إلى علامة التبويب Proxy ARP الثانية:
ARP، أضف واجهة wan1:
3.أخيرًا، ننتقل إلى إعداد NAT وجدار الحماية (تم وصف ذلك بالفعل بتفاصيل كافية في ).
نقوم بإنشاء قاعدة SAT بحيث تكون في الحزمة من الواجهة wan1 مع عنوان الوجهة خادم الويب العام ميناء المقصد HTTP، حيث قمنا بتكوين مسار للواجهة النواة، استبدل عنوان الوجهة بالعنوان الداخلي لخادمنا خادم الويب والمنفذ على 8080.
4. والخطوة التالية هي السماح بمثل هذه الحزمة - قم بإنشاء قاعدة السماح بمعلمات مماثلة (من الملائم نسخ قاعدة SAT واستبدال الإجراء بالسماح).
ملاحظةفي هذه الحالة، يجب أن تكون القواعد بالترتيب التالي تمامًا: أولًا SAT، ثم السماح:
تذكر أن قاعدة SAT يجب أن تكون أعلى من قاعدة السماح. ويرجع ذلك إلى حقيقة أن الحزمة، عندما تقع ضمن قاعدة السماح أو الرفض، لا تذهب أبعد من خلال جدول "القواعد".
في هذه الحالة، يتم أيضًا إنشاء قاعدة السماح للمنفذ العام والعنوان:
يرجى ملاحظة أن معلمات البروتوكول والواجهة والشبكة في قاعدة السماح هي نفسها الموجودة في قاعدة الإجراء "SAT".
يبدو لي أن الحزمة قد تمت معالجتها بالفعل بواسطة قاعدة SAT قبل سطر واحد، وكان عنوان الوجهة والمنفذ جديدين، ولكن لا، يبدو أن الاستبدال يحدث في وقت ما بعد معالجة جميع القواعد الأخرى.
В تم الكشف عن وظائف SAT بعمق، فهي تقدم العديد من الاحتمالات المثيرة للاهتمام. كان هدفي هو تغطية مشكلة لم يتم تناولها في هذه التعليمات والتعليمات الأخرى. آمل أن تكون التعليمات مفيدة ومفهومة.
المصدر: www.habr.com