Měl jsem úkol - publikovat službu na routeru D-Link DFL na IP adrese, která není vázána na rozhraní wan. Ale na internetu jsem nenašel návod, který by tento problém vyřešil, tak jsem napsal svůj vlastní.
Počáteční data (všechny adresy jsou brány jako příklad)
Webový server v interní síti s IP: 192.168.0.2 (přístav 8080).
Skupina externích bílých adres přidělených poskytovatelem: , brána poskytovatele: 5.255.255.1, zbývající „naše“ adresy 5.255.255.2-14.
Nechte adresy 5.255.255.2-10 používáme jej pro NAT a další potřeby. Odkaz na poskytovatele je připojen k portu wan1. K rozhraní wan1 adresa propojena 5.255.255.2.
Úkol: publikovat interní webový server na veřejnou adresu 5.255.255.11, v přístavu 80.
Řešení je stručné
Chcete-li publikovat službu na IP, která neodpovídá adrese rozhraní, budete potřebovat:
- Uveďte směrovači, že zveřejněná ip by měla být prohledávána interně pomocí .
- Uveřejnění aby router sousedům odpověděl, že zveřejněná adresa patří jemu.
- pravidlo brány firewall (), který uvnitř routeru změní cílovou adresu na adresu finálního serveru.
- Firewall pravidlo (Allow), které povolí připojení z externího rozhraní na publikovanou adresu uvnitř routeru
A nyní trochu více ke každému bodu
Trénink
I. Nejprve si vytvořte „Objekty“ pro všechny naše potřeby (nyní ukážu proces pro webové rozhraní, myslím, že ti, kteří pracují s konzolí, budou moci přenášet akce do příkazů konzoly).
1. Přidejte dvě adresy ipv4 do adresáře:
web-server = 192.168.0.2
veřejný webový server = 5.255.255.11
2. Poté přidáme porty do seznamu služeb:
int_http = tcp:8080
Přístav tcp:80 se již nachází v seznamu služeb, tzv http, má omezení v 2000 relací, lze limit upravit.
ohUkázalo se, že není potřeba přidávat port serveru na vnitřní síti, ale nechávám to, protože... příklad může být potřeba pro veřejný port, ale jsou přidány stejným způsobem
II. Přejděme přímo k řešení.
bod 1 и 2 lze kombinovat, protože Při přidání statické cesty je možné okamžitě poskytnout ARP. Abych byl upřímný, tuto příležitost jsem okamžitě neviděl a nenastavil publikaci ručně; router má také takovou funkci.
1. Pokud tedy ještě nemáte vytvořenou hromadu směrovacích tabulek a pravidel pro ně, tak vše lze provést v hlavní směrovací tabulce, tzv. hlavní.
Stůl hlavníbude existovat výchozí cesta k síti 5.255.255.0/28 na rozhraní wan1. A této trasy odpovídá metrice zadané v nastavení rozhraní (ve výchozím nastavení 100).
Aby brána neposílala pakety zpět do rozhraní wan1, musíte vytvořit statickou cestu k adrese veřejný webový server do rozhraní jádro s metrickým méně 100 (menší metrika rozhraní wan1) - pak jej brána vyhledá „v sobě“.
2. Zde můžete při vytváření trasy nakonfigurovat Proxy ARP tak, aby brána odpovídala na požadavky ARP. Na kartě Proxy ARP přidejte rozhraní WAN.
vytvořte trasu, ale neklikejte na OK, ale přejděte na druhou kartu Proxy ARP:
ARP, přidejte rozhraní wan1:
3. Nakonec přejdeme k nastavení NAT a firewallu (to je již dostatečně podrobně popsáno v ).
Vytvoříme pravidlo SAT tak, že v paketu z rozhraní wan1 s cílovou adresou veřejný webový server cílový přístav http, ke kterému jsme nakonfigurovali cestu pro rozhraní jádro, nahraďte cílovou adresu interní adresou našeho serveru web-server a port na 8080.
4. Dalším krokem je povolení takového paketu – vytvořte pravidlo Allow s podobnými parametry (vhodné je zkopírovat pravidlo SAT a nahradit akci příkazem Allow).
PoznámkaV tomto případě by pravidla měla být přesně v tomto pořadí: nejprve SAT, poté Allow:
Pamatujte, že pravidlo SAT musí být nad pravidlem povolení. To je způsobeno skutečností, že paket, když spadne do pravidla povolení nebo odmítnutí, neprojde dále tabulkou „Pravidla“.
V tomto případě se pravidlo povolení vytvoří také pro veřejný port a adresu:
Pamatujte, že protokol, rozhraní a parametry sítě v povolovacím pravidle jsou stejné jako v pravidle s akcí „SAT“.
Zdálo se mi, že paket byl již zpracován pravidlem SAT o řádek dříve a cílová adresa a port byly nové, ale ne, zdá se, že k nahrazení dojde někdy po zpracování všech ostatních pravidel.
В Funkčnost SAT je hluboce odhalena a představuje mnoho zajímavých možností. Mým cílem bylo pokrýt problém, který nebyl popsán v tomto návodu ani v jiných pokynech. Doufám, že návod bude užitečný a srozumitelný.
Zdroj: www.habr.com