Mi havis taskon - publikigi servon sur la D-Link DFL-enkursigilo ĉe IP-adreso, kiu ne estas ligita al la wan-interfaco. Sed mi ne povis trovi instrukciojn en la Interreto, kiuj solvus ĉi tiun problemon, do mi skribis mian propran.
Komencaj datumoj (ĉiuj adresoj estas prenitaj kiel ekzemplo)
Reta servilo en interna reto kun IP: 192.168.0.2 (haveno 8080).
Aro de eksteraj blankaj adresoj asignitaj de la provizanto: , provizanta enirejo: 5.255.255.1, la ceteraj "niaj" adresoj 5.255.255.2-14.
Lasu la adresojn 5.255.255.2-10 ni uzas ĝin por NAT kaj aliaj bezonoj. La provizanta ligo estas konektita al la haveno ŭan1. Al interfaco ŭan1 adreso ligita 5.255.255.2.
Tasko: publikigi internan retservilon al publika adreso 5.255.255.11, ĉe la haveno 80.
La solvo estas mallonga
Por publikigi servon sur IP, kiu ne respondas al la interfaca adreso, vi bezonos:
- Indiku al la enkursigilo, ke la publikigita ip estu serĉata interne uzante .
- Publikigo tiel ke la enkursigilo respondas al najbaroj, ke la publikigita adreso apartenas al ĝi.
- regulo de fajroŝirmilo (), kiu ene de la enkursigilo ŝanĝos la cel-adreson al la adreso de la fina servilo.
- Regulo de fajroŝirmilo (Permesu), kiu permesos konekton de la ekstera interfaco al la publikigita adreso ene de la enkursigilo
Kaj nun iom pli pri ĉiu punkto
Trejnado
I. Unue, ni kreu "Objektojn" por ĉiuj niaj bezonoj (nun mi montros la procezon por la retinterfaco, mi pensas, ke tiuj, kiuj laboras kun la konzolo, povos transdoni agojn al konzolaj komandoj).
1. Aldonu du ipv4-adresojn al la adreslibro:
retservilo = 192.168.0.2
publika-retservilo = 5.255.255.11
2. Poste ni aldonas havenojn al la listo de servoj:
int_http = tcp:8080
Haveno tcp:80 jam ĉeestas en la listo de servoj, nomita Http, havas limigon en 2000 sesioj, la limo povas esti ĝustigita.
hoMontriĝis, ke ne necesas aldoni servilan havenon en la interna reto, sed mi lasas ĝin ĉar... ekzemplon povas esti bezonata por publika haveno, sed ili estas aldonitaj en la sama maniero
II. Ni movu rekte al la solvo.
Alineo 1 и 2 povas esti kombinita, ĉar Aldonante statikan itineron, eblas tuj provizi ARP. Verdire, mi ne tuj vidis ĉi tiun ŝancon kaj agordis la publikigon permane; la enkursigilo ankaŭ havas tian funkcion.
1. Do, se vi ankoraŭ ne kreis amason da vojtabeloj kaj reguloj por ili, tiam ĉio povas esti farita en la ĉefa vojtabelo, ĝi nomiĝas ĉefa.
Tablo ĉefaestos defaŭlta vojo al la reto 5.255.255.0/28 per interfaco ŭan1. Kaj de ĉi tiu itinero kongruas kun la metriko specifita en la interfacagordoj (defaŭlte 100).
Por malhelpi la enirejon sendi pakaĵetojn reen al la interfaco ŭan1, vi devas krei senmovan itineron al la adreso publika-retservilo al la interfaco kerno kun metriko malpli 100 (pli malgranda interfaco-metriko ŭan1) - tiam la enirejo serĉos ĝin "interne de si".
2. Tie, kreante itineron, vi povas agordi Proxy ARP por ke la enirejo respondu al ARP-petoj. Sur la langeto Proxy ARP, aldonu WAN-interfacon.
kreu itineron, sed ne alklaku OK, sed iru al la dua Proxy ARP langeto:
ARP, aldonu interfacon ŭan1:
3.Fine, ni daŭrigas al agordo de NAT kaj fajroŝirmilo (ĉi tio estas jam sufiĉe detale priskribita en ).
Ni kreas SAT regulo tiel ke en la pako de la interfaco ŭan1 kun cela adreso publika-retservilo haveno de celloko Http, al kiu ni agordis itineron por la interfaco kerno, anstataŭigu la cel-adreson per la interna adreso de nia servilo retservilo kaj haveno plu 8080.
4. Kaj la sekva paŝo estas permesi tian pakaĵon - kreu Permesi regulon kun similaj parametroj (estas oportune kopii la SAT-regulon kaj anstataŭigi la agon per Permesi).
notuEn ĉi tiu kazo, la reguloj devus esti ĝuste en ĉi tiu ordo: unue SAT, poste Permesi:
Memoru, ke la SAT-regulo devas esti super la permesila regulo. Ĉi tio estas pro la fakto, ke pako, kiam ĝi falas en permesantan aŭ neantan regulon, ne iras plu tra la tabelo "Reguloj".
En ĉi tiu kazo, la permesi regulo ankaŭ estas kreita por la publika haveno kaj adreso:
Bonvolu noti, ke la protokolo, interfaco kaj retaj parametroj en la permesa regulo estas la sama kiel en la regulo kun la ago "SAT".
Ŝajnis al mi, ke la pakaĵeto jam estis prilaborita de la SAT-regulo linion pli frue, kaj la cel-adreso kaj haveno estis novaj, sed ne, ŝajnas, ke la anstataŭigo okazas iam post kiam ĉiuj aliaj reguloj estas prilaboritaj.
В La funkcieco de SAT estas profunde malkaŝita; ĝi prezentas multajn interesajn eblecojn. Mia celo estis kovri aferon, kiu ne estis kovrita en ĉi tiu instrukcio kaj en aliaj instrukcioj. Mi esperas, ke la instrukcioj estos utilaj kaj kompreneblaj.
fonto: www.habr.com