Imao sam zadatak - objaviti uslugu na D-Link DFL ruteru na IP adresi koja nije vezana za wan interfejs. Ali na internetu nisam mogao pronaći upute koje bi riješile ovaj problem, pa sam napisao svoje.
Početni podaci (sve adrese su uzete kao primjer)
Web server na internoj mreži sa IP-om: 192.168.0.2 (luka 8080).
Skup vanjskih bijelih adresa koje dodjeljuje provajder: , gateway provajdera: 5.255.255.1, preostale „naše“ adrese 5.255.255.2-14.
Neka adrese 5.255.255.2-10 koristimo ga za NAT i druge potrebe. Link provajdera je povezan na port wan1. Za interfejs wan1 adresa povezana 5.255.255.2.
Zadatak: objaviti interni web server na javnoj adresi 5.255.255.11, u luci 80.
Rešenje je kratko
Za objavljivanje usluge na IP-u koji ne odgovara adresi interfejsa trebat će vam:
- Naznačite ruteru da objavljeni IP treba interno pretraživati koristeći .
- Publikacija tako da ruter odgovara susjedima da mu objavljena adresa pripada.
- pravilo zaštitnog zida (), koji će unutar rutera promijeniti odredišnu adresu u adresu konačnog servera.
- Pravilo zaštitnog zida (Allow), koje će omogućiti vezu sa eksternog interfejsa na objavljenu adresu unutar rutera
A sada malo više o svakoj tački
Trening
I. Prvo, napravimo “Objekte” za sve naše potrebe (sada ću pokazati proces za web interfejs, mislim da će oni koji rade sa konzolom moći da prenesu akcije na komande konzole).
1. Dodajte dvije ipv4 adrese u adresar:
Web server = 192.168.0.2
javni-web-server = 5.255.255.11
2. Zatim dodajemo portove na listu usluga:
int_http = tcp:8080
Luka tcp:80 je već prisutan na listi usluga, tzv http, ima ograničenje u 2000 sesije, ograničenje se može podesiti.
ohIspostavilo se da nema potrebe za dodavanjem serverskog porta na internu mrežu, ali to ostavljam jer... primjer može biti potreban za javni port, ali oni se dodaju na isti način
II. Pređimo direktno na rješenje.
tačka 1 и 2 mogu se kombinovati, jer Prilikom dodavanja statičke rute, moguće je odmah osigurati ARP. Da budem iskren, nisam odmah vidio ovu priliku i ručno postavio publikaciju; ruter također ima takvu funkcionalnost.
1. Dakle, ako još niste kreirali gomilu tabela usmjeravanja i pravila za njih, onda se sve može uraditi u glavnoj tablici usmjeravanja, to se zove glavni.
Table glavnipostojat će zadana putanja do mreže 5.255.255.0/28 po interfejsu wan1. I ove rute odgovara metrici navedenoj u postavkama sučelja (podrazumevano 100).
Da spriječite gateway da šalje pakete nazad na interfejs wan1, morate kreirati statičku rutu do adrese javni-web-server na interfejs jezgro sa metrikom manje 100 (manja metrika interfejsa wan1) - tada će ga gateway tražiti "unutar sebe".
2. Tamo, kada kreirate rutu, možete konfigurirati Proxy ARP tako da gateway odgovara na ARP zahtjeve. Na kartici Proxy ARP dodajte WAN interfejs.
kreirajte rutu, ali nemojte kliknuti OK, već idite na drugu karticu Proxy ARP:
ARP, dodajte interfejs wan1:
3. Konačno, prelazimo na postavljanje NAT-a i firewall-a (ovo je već dovoljno detaljno opisano u ).
Kreiramo SAT pravilo tako da u paketu iz interfejsa wan1 sa odredišnom adresom javni-web-server odredišna luka http, do koje smo konfigurisali rutu za interfejs jezgro, zamijenite odredišnu adresu internom adresom našeg servera Web server i priključak uključen 8080.
4. I sljedeći korak je da dozvolite takav paket - kreirajte pravilo Allow sa sličnim parametrima (zgodno je kopirati SAT pravilo i zamijeniti akciju sa Allow).
BilješkaU ovom slučaju, pravila bi trebala biti upravo ovim redoslijedom: prvo SAT, zatim Dozvoli:
Zapamtite da SAT pravilo mora biti iznad dopuštenog pravila. To je zbog činjenice da paket, kada potpadne u pravilo dozvoljavanja ili odbijanja, ne prolazi dalje kroz tabelu “Pravila”.
U ovom slučaju, pravilo dozvole je također kreirano za javni port i adresu:
Imajte na umu da su protokol, interfejs i parametri mreže u pravilu dozvoljavanja isti kao u pravilu sa akcijom “SAT”.
Činilo mi se da je paket već obrađen SAT pravilom liniju ranije, a odredišna adresa i port su novi, ali ne, čini se da se zamjena događa negdje nakon što su sva druga pravila obrađena.
В Funkcionalnost SAT-a je duboko otkrivena, ona predstavlja mnoge zanimljive mogućnosti. Moj cilj je bio da pokrijem pitanje koje nije bilo obuhvaćeno ovim i drugim uputstvima. Nadam se da će uputstva biti korisna i razumljiva.
izvor: www.habr.com