Tenia una tasca: publicar un servei al router DFL D-Link en una adreça IP que no estigui vinculada a la interfície wan. Però no vaig trobar instruccions a Internet que resolguessin aquest problema, així que vaig escriure la meva.
Dades inicials (totes les adreces es prenen com a exemple)
Servidor web a la xarxa interna amb IP: 192.168.0.2 (port 8080).
Grup d'adreces blanques externes assignades pel proveïdor: , passarel·la del proveïdor: 5.255.255.1, les adreces "nostres" restants 5.255.255.2-14.
Deixa les adreces 5.255.255.2-10 el fem servir per a NAT i altres necessitats. L'enllaç del proveïdor està connectat al port wan1. A la interfície wan1 adreça enllaçada 5.255.255.2.
Tasca: publicar un servidor web intern a una adreça pública 5.255.255.11, al port 80.
La solució és breu
Per publicar un servei en una IP que no es correspon amb l'adreça de la interfície necessitareu:
- Indiqueu a l'encaminador que s'ha de cercar internament la IP publicada .
- Publicació de manera que l'encaminador respon als veïns que l'adreça publicada li pertany.
- regla del tallafoc (), que dins del router canviarà l'adreça de destinació per l'adreça del servidor final.
- Regla del tallafoc (Allow), que permetrà una connexió des de la interfície externa a l'adreça publicada dins de l'encaminador
I ara una mica més sobre cada punt
Entrenament
I. Primer, anem a crear "Objectes" per a totes les nostres necessitats (ara mostraré el procés per a la interfície web, crec que els que treballin amb la consola podran transferir accions a les ordres de la consola).
1. Afegiu dues adreces ipv4 a la llibreta d'adreces:
servidor web = 192.168.0.2
servidor web públic = 5.255.255.11
2. A continuació, afegim ports a la llista de serveis:
int_http = tcp:8080
Port tcp:80 ja està present a la llista de serveis, convocada http, té una limitació en 2000 sessions, el límit es pot ajustar.
aiVa resultar que no cal afegir un port de servidor a la xarxa interna, però ho deixo perquè... un exemple pot ser necessari per a un port públic, però s'afegeixen de la mateixa manera
II. Passem directament a la solució.
punt 1 и 2 es poden combinar, perquè Quan s'afegeix una ruta estàtica, és possible proporcionar immediatament ARP. Per ser honest, no vaig veure immediatament aquesta oportunitat i vaig configurar la publicació manualment, l'encaminador també té aquesta funcionalitat.
1. Per tant, si encara no heu creat un munt de taules d'encaminament i regles per a elles, tot es pot fer a la taula d'encaminament principal, s'anomena principal.
Taula principalhi haurà un camí per defecte a la xarxa 5.255.255.0/28 per interfície wan1. I d'aquesta ruta coincideix amb la mètrica especificada a la configuració de la interfície (per defecte 100).
Per evitar que la passarel·la enviï paquets a la interfície wan1, heu de crear una ruta estàtica a l'adreça servidor web públic a la interfície nucli amb mètrica menys 100 (mètrica de la interfície més petita wan1) - aleshores la passarel·la la buscarà "dins de si mateixa".
2. Allà, quan creeu una ruta, podeu configurar Proxy ARP perquè la passarel·la respongui a les peticions ARP. A la pestanya Proxy ARP, afegiu una interfície WAN.
creeu una ruta, però no feu clic a D'acord, sinó aneu a la segona pestanya Proxy ARP:
ARP, afegeix una interfície wan1:
3.Finalment, passem a la configuració de NAT i tallafoc (això ja es descriu amb prou detall a ).
Creem una regla SAT perquè en el paquet des de la interfície wan1 amb adreça de destinació servidor web públic Port de destinació http, al qual hem configurat una ruta per a la interfície nucli, substituïu l'adreça de destinació per l'adreça interna del nostre servidor servidor web i port endavant 8080.
4. I el següent pas és permetre aquest paquet: creeu una regla Allow amb paràmetres similars (és convenient copiar la regla SAT i substituir l'acció per Allow).
notaEn aquest cas, les regles haurien d'estar exactament en aquest ordre: primer SAT, després Permetre:
Recordeu que la regla SAT ha d'estar per sobre de la regla de permetre. Això es deu al fet que un paquet, quan entra en una regla d'autorització o denegació, no va més enllà de la taula "Regles".
En aquest cas, també es crea la regla d'autorització per al port i l'adreça públics:
Tingueu en compte que el protocol, la interfície i els paràmetres de xarxa a la regla d'autorització són els mateixos que a la regla amb l'acció "SAT".
Em va semblar que el paquet ja havia estat processat per la regla SAT una línia abans, i l'adreça de destinació i el port eren nous, però no, sembla que la substitució es produeix en algun moment després que s'hagin processat totes les altres regles.
В La funcionalitat de SAT es revela profundament, presenta moltes possibilitats interessants. El meu objectiu era cobrir un problema que no es tractava en aquesta instrucció i en altres instruccions. Espero que les instruccions siguin útils i comprensibles.
Font: www.habr.com