Jeg havde en opgave - at udgive en tjeneste på D-Link DFL-routeren på en IP-adresse, der ikke er bundet til wan-grænsefladen. Men jeg kunne ikke finde instruktioner på internettet, der ville løse dette problem, så jeg skrev min egen.
Indledende data (alle adresser tages som eksempel)
Webserver på internt netværk med IP: 192.168.0.2 (Havn 8080).
Pulje af eksterne hvide adresser tildelt af udbyderen: , udbyder gateway: 5.255.255.1, de resterende "vores" adresser 5.255.255.2-14.
Lad adresserne 5.255.255.2-10 vi bruger det til NAT og andre behov. Udbyderlinket er forbundet til porten wan1. Til grænseflade wan1 adresse knyttet 5.255.255.2.
Opgave: publicere en intern webserver til en offentlig adresse 5.255.255.11, на PORTу 80.
Løsningen er kort
For at udgive en tjeneste på en IP, der ikke svarer til grænsefladeadressen, skal du:
- Angiv over for routeren, at den offentliggjorte ip skal søges internt vha .
- publikation så routeren svarer til naboer, at den offentliggjorte adresse tilhører den.
- firewall regel (), som inde i routeren vil ændre destinationsadressen til adressen på den endelige server.
- Firewall-regel (Tillad), som tillader en forbindelse fra den eksterne grænseflade til den offentliggjorte adresse inde i routeren
Og nu lidt mere om hvert punkt
Træning
I. Lad os først oprette "Objekter" til alle vores behov (nu vil jeg vise processen for webgrænsefladen, jeg tror, at de, der arbejder med konsollen, vil være i stand til at overføre handlinger til konsolkommandoer).
1. Tilføj to ipv4-adresser til adressebogen:
webserver = 192.168.0.2
offentlig-web-server = 5.255.255.11
2. Derefter tilføjer vi porte til listen over tjenester:
int_http = tcp:8080
Port tcp:80 er allerede til stede i listen over tjenester, kaldet http, har en begrænsning i 2000 sessioner, kan grænsen justeres.
åhDet viste sig, at der ikke er behov for at tilføje en serverport på det interne netværk, men jeg forlader det, fordi... et eksempel kan være nødvendigt for en offentlig havn, men de tilføjes på samme måde
II. Lad os gå direkte til løsningen.
Item 1 и 2 kan kombineres, pga Når du tilføjer en statisk rute, er det muligt at levere ARP med det samme. For at være ærlig, så jeg ikke umiddelbart denne mulighed og satte udgivelsen op manuelt; routeren har også en sådan funktionalitet.
1. Så hvis du endnu ikke har lavet en masse routingtabeller og regler for dem, så kan alt gøres i hovedrutingstabellen, det hedder main.
Bord mainder vil være en standardsti til netværket 5.255.255.0/28 pr interface wan1. og af denne rute matcher metrikken angivet i grænsefladeindstillingerne (som standard 100).
For at forhindre gatewayen i at sende pakker tilbage til grænsefladen wan1, skal du oprette en statisk rute til adressen offentlig-web-server til grænsefladen kerne med metrisk mindre 100 (mindre grænseflademetrik wan1) - så vil gatewayen lede efter det "inde i sig selv".
2. Der, når du opretter en rute, kan du konfigurere Proxy ARP, så gatewayen reagerer på ARP-anmodninger. Tilføj en WAN-grænseflade på fanen Proxy ARP.
opret en rute, men klik ikke på OK, men gå til den anden Proxy ARP-fane:
ARP, tilføj en grænseflade wan1:
3. Til sidst går vi videre til opsætning af NAT og firewall (dette er allerede beskrevet tilstrækkeligt detaljeret i ).
Vi opretter en SAT-regel, så der i pakken fra grænsefladen wan1 med destinationsadresse offentlig-web-server bestemmelseshavn http, hvortil vi har konfigureret en rute for grænsefladen kerne, udskift destinationsadressen med den interne adresse på vores server webserver og port på 8080.
4. Og det næste trin er at tillade en sådan pakke - opret en Tillad-regel med lignende parametre (det er praktisk at kopiere SAT-reglen og erstatte handlingen med Tillad).
BemærkI dette tilfælde skal reglerne være i nøjagtig denne rækkefølge: først SAT, derefter Tillad:
Husk at SAT-reglen skal være over tillade-reglen. Dette skyldes det faktum, at en pakke, når den falder ind under en tillade- eller afvisningsregel, ikke går videre gennem "Regler"-tabellen.
I dette tilfælde oprettes tillade-reglen også for den offentlige port og adresse:
Bemærk venligst, at protokollen, grænsefladen og netværksparametrene i tillade-reglen er de samme som i reglen med "SAT"-handlingen.
Det forekom mig, at pakken allerede var blevet behandlet af SAT-reglen en linje tidligere, og destinationsadressen og porten var nye, men nej, det ser ud til, at udskiftningen sker engang efter, at alle andre regler er blevet behandlet.
В Funktionaliteten af SAT er dybt afsløret; det giver mange interessante muligheder. Mit mål var at dække et problem, der ikke var dækket i denne instruktion og i andre instruktioner. Jeg håber, at instruktionerne vil være nyttige og forståelige.
Kilde: www.habr.com