Ich hatte die Aufgabe, einen Dienst auf dem D-Link DFL-Router unter einer IP-Adresse zu veröffentlichen, die nicht an die WAN-Schnittstelle gebunden ist. Aber ich konnte im Internet keine Anleitung finden, die dieses Problem lösen würde, also habe ich meine eigene geschrieben.
Ausgangsdaten (alle Adressen dienen als Beispiel)
Webserver im internen Netzwerk mit IP: 192.168.0.2 (Hafen 8080).
Vom Anbieter zugewiesener Pool externer weißer Adressen: , Anbieter-Gateway: 5.255.255.1, die restlichen „unsere“ Adressen 5.255.255.2-14.
Lassen Sie die Adressen 5.255.255.2-10 Wir verwenden es für NAT und andere Zwecke. Der Provider-Link ist mit dem Port verbunden wan1. Zur Schnittstelle wan1 Adresse verlinkt 5.255.255.2.
Aufgabe: Einen internen Webserver an eine öffentliche Adresse veröffentlichen 5.255.255.11, am Hafen 80.
Die Lösung ist kurz
Um einen Dienst auf einer IP zu veröffentlichen, die nicht der Schnittstellenadresse entspricht, benötigen Sie:
- Geben Sie dem Router an, dass die veröffentlichte IP intern durchsucht werden soll .
- Veröffentlichung damit der Router den Nachbarn antwortet, dass die veröffentlichte Adresse ihm gehört.
- Firewall-Regel (), wodurch im Router die Zieladresse in die Adresse des endgültigen Servers geändert wird.
- Firewall-Regel (Zulassen), die eine Verbindung von der externen Schnittstelle zur veröffentlichten Adresse im Router zulässt
Und nun etwas mehr zu jedem Punkt
Training
I. Lassen Sie uns zunächst „Objekte“ für alle unsere Anforderungen erstellen (jetzt zeige ich den Prozess für die Weboberfläche. Ich denke, diejenigen, die mit der Konsole arbeiten, können Aktionen in Konsolenbefehle übertragen).
1. Fügen Sie dem Adressbuch zwei IPv4-Adressen hinzu:
Webserver = 192.168.0.2
öffentlicher-Webserver = 5.255.255.11
2. Dann fügen wir Ports zur Liste der Dienste hinzu:
int_http = tcp:8080
Port tcp:80 ist bereits in der Liste der aufgerufenen Dienste vorhanden http, hat eine Einschränkung in 2000 Sitzungen kann das Limit angepasst werden.
ohEs stellte sich heraus, dass es nicht nötig ist, einen Server-Port im internen Netzwerk hinzuzufügen, aber ich belasse es, weil ... Für einen öffentlichen Port ist möglicherweise ein Beispiel erforderlich, sie werden jedoch auf die gleiche Weise hinzugefügt
II. Kommen wir direkt zur Lösung.
Artikel 1 и 2 kombinierbar, weil Beim Hinzufügen einer statischen Route ist es möglich, ARP sofort bereitzustellen. Ehrlich gesagt habe ich diese Möglichkeit nicht sofort erkannt und die Veröffentlichung manuell eingerichtet; der Router verfügt auch über eine solche Funktionalität.
1. Wenn Sie also noch keine Reihe von Routing-Tabellen und Regeln dafür erstellt haben, können Sie alles in der sogenannten Haupt-Routing-Tabelle erledigen Haupt-.
Tisch Haupt-Es wird einen Standardpfad zum Netzwerk geben 5.255.255.0/28 pro Schnittstelle wan1. und dieser Route entspricht der in den Schnittstelleneinstellungen angegebenen Metrik (standardmäßig). 100).
Um zu verhindern, dass das Gateway Pakete an die Schnittstelle zurücksendet wan1, müssen Sie eine statische Route zur Adresse erstellen öffentlicher-Webserver zur Schnittstelle Core mit metrisch weniger 100 (kleinere Schnittstellenmetrik wan1) - dann sucht das Gateway „in sich selbst“ danach.
2. Dort können Sie beim Erstellen einer Route Proxy ARP so konfigurieren, dass das Gateway auf ARP-Anfragen reagiert. Fügen Sie auf der Registerkarte Proxy-ARP eine WAN-Schnittstelle hinzu.
Erstellen Sie eine Route, klicken Sie jedoch nicht auf OK, sondern wechseln Sie zur zweiten Registerkarte Proxy ARP:
ARP, füge eine Schnittstelle hinzu wan1:
3.Abschließend geht es weiter mit der Einrichtung von NAT und Firewall (dies ist bereits ausführlich beschrieben in ).
Wir erstellen eine SAT-Regel, damit im Paket von der Schnittstelle wan1 mit Zieladresse öffentlicher-Webserver Zielhafen http, zu dem wir eine Route für die Schnittstelle konfiguriert haben Core, ersetzen Sie die Zieladresse durch die interne Adresse unseres Servers Webserver und Port weiter 8080.
4. Und der nächste Schritt besteht darin, ein solches Paket zuzulassen – erstellen Sie eine Allow-Regel mit ähnlichen Parametern (es ist praktisch, die SAT-Regel zu kopieren und die Aktion durch Allow zu ersetzen).
AppetitIn diesem Fall sollten die Regeln genau in dieser Reihenfolge sein: zuerst SAT, dann erlauben:
Denken Sie daran, dass die SAT-Regel über der Zulassungsregel liegen muss. Dies liegt daran, dass ein Paket, wenn es in eine Zulassungs- oder Ablehnungsregel fällt, die Tabelle „Regeln“ nicht weiter durchläuft.
In diesem Fall wird die Zulassungsregel auch für den öffentlichen Port und die öffentliche Adresse erstellt:
Bitte beachten Sie, dass die Protokoll-, Schnittstellen- und Netzwerkparameter in der Zulassungsregel dieselben sind wie in der Regel mit der Aktion „SAT“.
Es schien mir, dass das Paket bereits eine Zeile zuvor von der SAT-Regel verarbeitet worden war und die Zieladresse und der Port neu waren, aber nein, es scheint, dass die Ersetzung irgendwann erfolgt, nachdem alle anderen Regeln verarbeitet wurden.
В Die Funktionalität von SAT wird tief offenbart und bietet viele interessante Möglichkeiten. Mein Ziel war es, ein Problem abzudecken, das in dieser Anleitung und anderen Anleitungen nicht behandelt wurde. Ich hoffe, dass die Anleitung nützlich und verständlich ist.
Source: habr.com