Имах задача - да публикувам услуга на D-Link DFL рутера на IP адрес, който не е обвързан с wan интерфейса. Но не можах да намеря инструкции в интернет, които биха разрешили този проблем, така че написах своя собствена.
Първоначални данни (всички адреси са взети като пример)
Уеб сървър във вътрешна мрежа с IP: 192.168.0.2 (порт 8080).
Пул от външни бели адреси, разпределени от доставчика: 5.255.255.0/28, шлюз на доставчика: 5.255.255.1, останалите „наши“ адреси 5.255.255.2-14.
Нека адресите 5.255.255.2-10 използваме го за NAT и други нужди. Връзката на доставчика е свързана към порта wan1. За интерфейс wan1 свързан адрес 5.255.255.2.
Задача: публикуване на вътрешен уеб сървър на публичен адрес 5.255.255.11, на пристанището 80.
Решението е кратко
За да публикувате услуга на IP, който не съответства на адреса на интерфейса, ще ви трябва:
Посочете на рутера, че публикуваният ip трябва да се търси вътрешно с помощта на таблици за маршрутизиране.
Публикуване ARPтака че рутерът да отговаря на съседите, че публикуваният адрес принадлежи на него.
правило за защитна стена (SAT), който вътре в рутера ще промени адреса на дестинация на адреса на крайния сървър.
Правило на защитната стена (Allow), което ще позволи връзка от външния интерфейс към публикувания адрес вътре в рутера
А сега малко повече за всяка точка
Обучение
I. Първо, нека създадем „Обекти“ за всички наши нужди (сега ще покажа процеса за уеб интерфейса, мисля, че тези, които работят с конзолата, ще могат да прехвърлят действия към конзолни команди).
1. Добавете два ipv4 адреса към адресната книга: уеб сървър = 192.168.0.2 публичен уеб сървър = 5.255.255.11
2. След това добавяме портове към списъка с услуги: int_http = tcp:8080
порт tcp:80 вече присъства в списъка с услуги, наречени HTTP, има ограничение в 2000 сесии, лимитът може да се коригира.
охОказа се, че няма нужда да добавям сървърен порт във вътрешната мрежа, но го оставям, защото... може да е необходим пример за публичен порт, но те се добавят по същия начин
II. Да преминем директно към решението.
точка 1 и 2 могат да се комбинират, т.к При добавяне на статичен маршрут е възможно незабавно да се осигури ARP. Честно казано, не видях веднага тази възможност и настроих публикацията ръчно; рутерът също има такава функционалност.
1. Така че, ако все още не сте създали куп таблици за маршрутизиране и правила за тях, тогава всичко може да се направи в основната таблица за маршрутизиране, тя се нарича основен.
Таблица основенще има път по подразбиране към мрежата 5.255.255.0/28 към интерфейса wan1, и показател на този маршрут съответства на показателя, посочен в настройките на интерфейса (по подразбиране 100).
За да попречите на шлюза да изпраща пакети обратно към интерфейса wan1, трябва да създадете статичен маршрут до адреса публичен уеб сървър към интерфейса корем с метрика по-малко 100 (по-малък показател на интерфейса wan1) - тогава шлюзът ще го търси „вътре в себе си“.
2. Там, когато създавате маршрут, можете да конфигурирате Proxy ARP, така че шлюзът да отговаря на ARP заявки. В раздела Proxy ARP добавете WAN интерфейс.
създайте маршрут, но не щракнете върху OK, а отидете на втория раздел Proxy ARP:
ARP, добави интерфейс wan1:
3.Накрая преминаваме към настройката на NAT и защитната стена (това вече е описано достатъчно подробно в инструкции на уебсайта dlink.ua).
Създаваме SAT правило, така че в пакета от интерфейса wan1 с адрес на дестинация публичен уеб сървър пристанище на местоназначение HTTP, към който сме конфигурирали маршрут за интерфейса корем, заменете адреса на местоназначение с вътрешния адрес на нашия сървър уеб сървър и порт на 8080.
4. И следващата стъпка е да разрешите такъв пакет - създайте правило Allow с подобни параметри (удобно е да копирате правилото SAT и да замените действието с Allow).
бележкаВ този случай правилата трябва да са точно в този ред: първо SAT, след това Allow:
Не забравяйте, че правилото SAT трябва да е над разрешаващото правило. Това се дължи на факта, че пакет, когато попадне в правило за разрешаване или отказ, не преминава по-нататък през таблицата „Правила“.
dlink.ua
В този случай правилото за разрешаване също се създава за публичния порт и адрес:
Моля, имайте предвид, че протоколът, интерфейсът и мрежовите параметри в разрешаващото правило са същите като в правилото с действието „SAT“.
Струваше ми се, че пакетът вече е бил обработен от правилото SAT един ред по-рано и адресът и портът на местоназначение са нови, но не, изглежда, че замяната се случва след като всички други правила са обработени.
В инструкции от D-link Функционалността на SAT е дълбоко разкрита, тя предоставя много интересни възможности. Целта ми беше да покрия проблем, който не беше разгледан в тази инструкция и в други инструкции. Надявам се инструкциите да са полезни и разбираеми.