Mənim bir vəzifəm var idi - D-Link DFL marşrutlaşdırıcısında wan interfeysinə bağlı olmayan bir IP ünvanında bir xidmət dərc etmək. Ancaq İnternetdə bu problemi həll edəcək təlimat tapa bilmədim, ona görə də özümü yazdım.
İlkin məlumatlar (bütün ünvanlar nümunə kimi götürülüb)
IP ilə daxili şəbəkədə veb server: 192.168.0.2 (port 8080).
Provayder tərəfindən ayrılmış xarici ağ ünvanlar hovuzu: , provayder gateway: 5.255.255.1, qalan “bizim” ünvanlarımız 5.255.255.2-14.
Qoy ünvanlar 5.255.255.2-10 biz onu NAT və digər ehtiyaclar üçün istifadə edirik. Provayder bağlantısı porta qoşulub wan1. İnterfeys üçün wan1 əlaqə ünvanı 5.255.255.2.
Tapşırıq: daxili veb serveri ümumi ünvana dərc edin 5.255.255.11, limanda 80.
Həll qısadır
İnterfeys ünvanına uyğun olmayan bir IP-də bir xidmət dərc etmək üçün sizə lazım olacaq:
- Routerə göstərin ki, dərc edilmiş ip-dən istifadə edərək daxili axtarış aparılmalıdır .
- Nəşr belə ki, marşrutlaşdırıcı qonşulara dərc edilmiş ünvanın ona aid olduğunu cavablandırır.
- firewall qaydası (), marşrutlaşdırıcının daxilində təyinat ünvanını son serverin ünvanına dəyişəcək.
- Xarici interfeysdən marşrutlaşdırıcının içərisində dərc edilmiş ünvana qoşulmağa imkan verən Firewall qaydası (İcazə verin).
İndi hər bir nöqtə haqqında bir az daha çox
Təlim
I. Əvvəlcə bütün ehtiyaclarımız üçün “Obyektlər” yaradaq (indi veb interfeys üçün prosesi göstərəcəyəm, məncə konsolla işləyənlər əməliyyatları konsol əmrlərinə köçürə biləcəklər).
1. Ünvan kitabına iki ipv4 ünvanı əlavə edin:
veb-server = 192.168.0.2
ictimai veb-server = 5.255.255.11
2. Sonra xidmətlər siyahısına portlar əlavə edirik:
int_http = tcp: 8080
Liman tcp: 80 adlı xidmətlər siyahısında artıq mövcuddur http, məhdudiyyəti var 2000 seanslarda limit tənzimlənə bilər.
ойMəlum oldu ki, daxili şəbəkəyə server portu əlavə etməyə ehtiyac yoxdur, amma mən onu tərk edirəm, çünki... nümunə ictimai liman üçün lazım ola bilər, lakin onlar eyni şəkildə əlavə olunur
II. Gəlin birbaşa həll yoluna keçək.
Paraqraf 1 и 2 birləşdirilə bilər, çünki Statik marşrut əlavə edərkən dərhal ARP təmin etmək mümkündür. Düzünü desəm, bu fürsəti dərhal görmədim və nəşri əl ilə qurmadım, marşrutlaşdırıcıda da belə bir funksiya var.
1. Beləliklə, əgər siz hələ bir dəstə marşrutlaşdırma cədvəli və onlar üçün qaydalar yaratmamısınızsa, onda hər şeyi əsas marşrutlaşdırma cədvəlində etmək olar, buna deyilir. Elanlar .
Cədvəl Elanlar
şəbəkəyə standart yol olacaq 5.255.255.0/28 interfeysə görə wan1. Və bu marşrutun interfeys parametrlərində göstərilən metrikaya uyğun gəlir (standart olaraq 100).
Şluzun paketləri interfeysə geri göndərməsinin qarşısını almaq üçün wan1, ünvana statik marşrut yaratmalısınız ictimai veb-server interfeysə əsas metrik ilə daha az 100 (daha kiçik interfeys metrik wan1) - sonra şlüz onu "öz daxilində" axtaracaq.
2. Orada marşrut yaradan zaman Proxy ARP-ni elə konfiqurasiya edə bilərsiniz ki, şlüz ARP sorğularına cavab versin. Proksi ARP sekmesinde WAN interfeysi əlavə edin.
marşrut yaradın, lakin OK düyməsini klikləməyin, lakin ikinci Proxy ARP sekmesine keçin:
ARP, interfeys əlavə edin wan1:
3. Nəhayət, NAT və təhlükəsizlik divarının qurulmasına keçirik (bu, artıq kifayət qədər ətraflı şəkildə təsvir edilmişdir. ).
SAT qaydası yaradırıq ki, paketdə interfeysdən wan1 təyinat ünvanı ilə ictimai veb-server təyinat limanı http, interfeys üçün marşrutu konfiqurasiya etdiyimiz əsas, təyinat ünvanını serverimizin daxili ünvanı ilə əvəz edin veb-server və port açıqdır 8080.
4. Və növbəti addım belə bir paketə icazə verməkdir - oxşar parametrlərlə Allow qaydası yaradın (SAT qaydasını köçürmək və hərəkəti Allow ilə əvəz etmək rahatdır).
bir qeydBu halda, qaydalar məhz bu ardıcıllıqla olmalıdır: əvvəlcə SAT, sonra icazə verin:
Unutmayın ki, SAT qaydası icazə verilən qaydadan yuxarı olmalıdır. Bu, paketin icazə verən və ya rədd edən qaydaya düşdüyü zaman “Qaydalar” cədvəlindən irəli getməməsi ilə əlaqədardır.
Bu halda icazə qaydası ictimai liman və ünvan üçün də yaradılır:
Nəzərə alın ki, icazə verən qaydadakı protokol, interfeys və şəbəkə parametrləri “SAT” hərəkəti ilə qaydadakı kimidir.
Mənə elə gəldi ki, paket bir sətir əvvəl SAT qaydası ilə artıq işlənmişdi və təyinat ünvanı və port yeni idi, lakin yox, deyəsən dəyişdirmə bütün digər qaydalar işləndikdən bir müddət sonra baş verir.
В SAT-ın funksionallığı dərindən açılır; o, çoxlu maraqlı imkanlar təqdim edir. Məqsədim bu təlimatda və digər təlimatlarda əksini tapmayan bir məsələni işıqlandırmaq idi. Ümid edirəm ki, təlimatlar faydalı və başa düşülən olacaq.
Mənbə: www.habr.com