Είχα μια αποστολή - να δημοσιεύσω μια υπηρεσία στο δρομολογητή DFL D-Link σε μια διεύθυνση IP που δεν συνδέεται με τη διεπαφή wan. Αλλά δεν μπορούσα να βρω οδηγίες στο Διαδίκτυο που θα έλυσαν αυτό το πρόβλημα, έτσι έγραψα τις δικές μου.
Αρχικά δεδομένα (όλες οι διευθύνσεις λαμβάνονται ως παράδειγμα)
Διακομιστής Ιστού σε εσωτερικό δίκτυο με IP: 192.168.0.2 (Λιμάνι 8080).
Δεξαμενή εξωτερικών λευκών διευθύνσεων που εκχωρήθηκαν από τον πάροχο: , πύλη παρόχου: 5.255.255.1, οι υπόλοιπες διευθύνσεις «μας». 5.255.255.2-14.
Αφήστε τις διευθύνσεις 5.255.255.2-10 το χρησιμοποιούμε για ΝΑΤ και άλλες ανάγκες. Ο σύνδεσμος παρόχου είναι συνδεδεμένος στη θύρα wan1. Για διεπαφή wan1 συνδεδεμένη διεύθυνση 5.255.255.2.
Εργασία: δημοσίευση ενός εσωτερικού διακομιστή ιστού σε μια δημόσια διεύθυνση 5.255.255.11, στην Πορτογαλία 80.
Η λύση είναι σύντομη
Για να δημοσιεύσετε μια υπηρεσία σε μια IP που δεν αντιστοιχεί στη διεύθυνση διεπαφής θα χρειαστείτε:
- Υποδείξτε στο δρομολογητή ότι η δημοσιευμένη ip πρέπει να αναζητηθεί εσωτερικά χρησιμοποιώντας .
- Δημοσίευση έτσι ώστε ο δρομολογητής να απαντά στους γείτονες ότι η δημοσιευμένη διεύθυνση ανήκει σε αυτόν.
- κανόνας τείχους προστασίας (), το οποίο μέσα στο δρομολογητή θα αλλάξει τη διεύθυνση προορισμού στη διεύθυνση του τελικού διακομιστή.
- Κανόνας τείχους προστασίας (Allow), ο οποίος θα επιτρέψει τη σύνδεση από την εξωτερική διεπαφή στη δημοσιευμένη διεύθυνση εντός του δρομολογητή
Και τώρα λίγα περισσότερα για κάθε σημείο
Εκπαίδευση
I. Αρχικά, ας δημιουργήσουμε "Αντικείμενα" για όλες τις ανάγκες μας (τώρα θα δείξω τη διαδικασία για τη διεπαφή ιστού, νομίζω ότι όσοι εργάζονται με την κονσόλα θα μπορούν να μεταφέρουν ενέργειες σε εντολές κονσόλας).
1. Προσθέστε δύο διευθύνσεις ipv4 στο βιβλίο διευθύνσεων:
web-server = 192.168.0.2
δημόσιος-δικτυακός διακομιστής = 5.255.255.11
2. Στη συνέχεια προσθέτουμε θύρες στη λίστα των υπηρεσιών:
int_http = tcp: 8080
Port tcp: 80 είναι ήδη παρούσα στη λίστα των υπηρεσιών, που ονομάζεται http, έχει περιορισμό σε 2000 συνεδρίες, το όριο μπορεί να προσαρμοστεί.
ΩΑποδείχθηκε ότι δεν υπάρχει ανάγκη προσθήκης θύρας διακομιστή στο εσωτερικό δίκτυο, αλλά το αφήνω γιατί... Ένα παράδειγμα μπορεί να χρειάζεται για ένα δημόσιο λιμάνι, αλλά προστίθενται με τον ίδιο τρόπο
II. Ας περάσουμε κατευθείαν στη λύση.
Είδος 1 и 2 μπορούν να συνδυαστούν, γιατί Όταν προσθέτετε μια στατική διαδρομή, είναι δυνατή η άμεση παροχή ARP. Για να είμαι ειλικρινής, δεν είδα αμέσως αυτήν την ευκαιρία και ρύθμισα τη δημοσίευση με μη αυτόματο τρόπο.
1. Έτσι, εάν δεν έχετε δημιουργήσει ακόμη ένα σωρό πίνακες δρομολόγησης και κανόνες για αυτούς, τότε όλα μπορούν να γίνουν στον κύριο πίνακα δρομολόγησης, που ονομάζεται κύριος.
Τραπέζι κύριοςθα υπάρχει μια προεπιλεγμένη διαδρομή προς το δίκτυο 5.255.255.0/28 ανά διεπαφή wan1. Και αυτής της διαδρομής ταιριάζει με τη μέτρηση που καθορίζεται στις ρυθμίσεις διεπαφής (από προεπιλογή 100).
Για να αποτρέψετε την πύλη από την αποστολή πακέτων πίσω στη διεπαφή wan1, πρέπει να δημιουργήσετε μια στατική διαδρομή προς τη διεύθυνση δημόσιος-δικτυακός διακομιστής στη διεπαφή πυρήνας με μετρικό λιγότερο 100 (μικρότερη μέτρηση διεπαφής wan1) - τότε η πύλη θα το αναζητήσει "μέσα στον εαυτό της".
2. Εκεί, όταν δημιουργείτε μια διαδρομή, μπορείτε να διαμορφώσετε το Proxy ARP έτσι ώστε η πύλη να ανταποκρίνεται σε αιτήματα ARP. Στην καρτέλα Proxy ARP, προσθέστε μια διεπαφή WAN.
δημιουργήστε μια διαδρομή, αλλά μην κάνετε κλικ στο OK, αλλά μεταβείτε στη δεύτερη καρτέλα Proxy ARP:
ARP, προσθέστε μια διεπαφή wan1:
3. Τέλος, προχωράμε στη ρύθμιση του NAT και του τείχους προστασίας (αυτό περιγράφεται ήδη με αρκετή λεπτομέρεια στο ).
Δημιουργούμε έναν κανόνα SAT έτσι ώστε στο πακέτο από τη διεπαφή wan1 με διεύθυνση προορισμού δημόσιος-δικτυακός διακομιστής λιμένας προορισμού http, στο οποίο έχουμε διαμορφώσει μια διαδρομή για τη διεπαφή πυρήνας, αντικαταστήστε τη διεύθυνση προορισμού με την εσωτερική διεύθυνση του διακομιστή μας web-server και port on 8080.
4. Και το επόμενο βήμα είναι να επιτρέψετε ένα τέτοιο πακέτο - δημιουργήστε έναν κανόνα Allow με παρόμοιες παραμέτρους (είναι βολικό να αντιγράψετε τον κανόνα SAT και να αντικαταστήσετε την ενέργεια με Allow).
ΣημείωσηΣε αυτήν την περίπτωση, οι κανόνες θα πρέπει να είναι με αυτήν ακριβώς τη σειρά: πρώτα SAT και μετά Allow:
Να θυμάστε ότι ο κανόνας SAT πρέπει να είναι πάνω από τον κανόνα επιτρεπόμενο. Αυτό οφείλεται στο γεγονός ότι ένα πακέτο, όταν εμπίπτει σε έναν κανόνα επιτρεπόμενης ή άρνησης, δεν περνά περισσότερο από τον πίνακα "Κανόνες".
Σε αυτήν την περίπτωση, ο κανόνας επιτρέπει επίσης δημιουργείται για τη δημόσια θύρα και τη διεύθυνση:
Λάβετε υπόψη ότι οι παράμετροι του πρωτοκόλλου, της διεπαφής και του δικτύου στον κανόνα επιτρεπόμενων είναι οι ίδιες όπως στον κανόνα με την ενέργεια "SAT".
Μου φάνηκε ότι το πακέτο είχε ήδη υποβληθεί σε επεξεργασία από τον κανόνα SAT μια γραμμή νωρίτερα και η διεύθυνση προορισμού και η θύρα ήταν νέα, αλλά όχι, φαίνεται ότι η αντικατάσταση πραγματοποιείται κάποια στιγμή μετά την επεξεργασία όλων των άλλων κανόνων.
В Η λειτουργικότητα του SAT αποκαλύπτεται σε βάθος, παρουσιάζει πολλές ενδιαφέρουσες δυνατότητες. Στόχος μου ήταν να καλύψω ένα θέμα που δεν καλύφθηκε σε αυτή την οδηγία και σε άλλες οδηγίες. Ελπίζω οι οδηγίες να είναι χρήσιμες και κατανοητές.
Πηγή: www.habr.com