Tenía una tarea: publicar un servicio en el enrutador D-Link DFL en una dirección IP que no esté vinculada a la interfaz wan. Pero no pude encontrar instrucciones en Internet que resolvieran este problema, así que escribí la mía propia.
Datos iniciales (todas las direcciones se toman como ejemplo)
Servidor web en red interna con IP: 192.168.0.2 (puerto 8080).
Conjunto de direcciones blancas externas asignadas por el proveedor: , puerta de enlace del proveedor: 5.255.255.1, el resto de “nuestras” direcciones 5.255.255.2 - 14.
Deja las direcciones 5.255.255.2 - 10 Lo usamos para NAT y otras necesidades. El enlace del proveedor está conectado al puerto. wan1. Para interactuar wan1 dirección vinculada 5.255.255.2.
Tarea: publicar un servidor web interno en una dirección pública 5.255.255.11, en puerto 80.
La solución es breve.
Para publicar un servicio en una IP que no corresponde a la dirección de la interfaz necesitará:
- Indicar al router que se debe buscar internamente la ip publicada usando .
- Publicación para que el enrutador responda a los vecinos que la dirección publicada le pertenece.
- regla de firewall (), que dentro del router cambiará la dirección de destino por la dirección del servidor final.
- Regla de firewall (Permitir), que permitirá una conexión desde la interfaz externa a la dirección publicada dentro del enrutador
Y ahora un poco más sobre cada punto.
Formación
I. Primero, creemos "Objetos" para todas nuestras necesidades (ahora mostraré el proceso para la interfaz web, creo que aquellos que trabajan con la consola podrán transferir acciones a los comandos de la consola).
1. Agregue dos direcciones ipv4 a la libreta de direcciones:
servidor web = 192.168.0.2
servidor web público = 5.255.255.11
2. Luego agregamos puertos a la lista de servicios:
int_http = tcp: 8080
El puerto tcp: 80 ya está presente en la lista de servicios, llamado http, tiene una limitación en 2000 sesiones, el límite se puede ajustar.
ойResultó que no es necesario agregar un puerto de servidor en la red interna, pero lo dejo porque… puede ser necesario un ejemplo para un puerto público, pero se agregan de la misma manera
II. Pasemos directamente a la solución.
Artículo 1 и 2 Se puede combinar porque Al agregar una ruta estática, es posible proporcionar ARP inmediatamente. Para ser honesto, no vi de inmediato esta oportunidad y configuré la publicación manualmente; el enrutador también tiene esa funcionalidad.
1. Entonces, si aún no ha creado un montón de tablas de enrutamiento y reglas para ellas, entonces todo se puede hacer en la tabla de enrutamiento principal, se llama principal.
Mesa principalHabrá una ruta predeterminada a la red. 5.255.255.0/28 por interfaz wan1. Y de esta ruta coincide con la métrica especificada en la configuración de la interfaz (por defecto 100).
Para evitar que la puerta de enlace envíe paquetes de regreso a la interfaz wan1, necesitas crear una ruta estática a la dirección servidor web público a la interfaz core con métrica menos 100 (métrica de interfaz más pequeña wan1) - entonces la puerta de enlace lo buscará “dentro de sí mismo”.
2. Allí, al crear una ruta, puede configurar Proxy ARP para que la puerta de enlace responda a las solicitudes ARP. En la pestaña Proxy ARP, agregue una interfaz WAN.
cree una ruta, pero no haga clic en Aceptar, sino vaya a la segunda pestaña Proxy ARP:
ARP, agrega una interfaz wan1:
3.Finalmente, pasamos a configurar NAT y firewall (esto ya se describe con suficiente detalle en ).
Creamos una regla SAT para que en el paquete desde la interfaz wan1 con dirección de destino servidor web público Puerto de destino http, al cual le hemos configurado una ruta para la interfaz core, reemplaza la dirección de destino con la dirección interna de nuestro servidor servidor web y puerto en 8080.
4. Y el siguiente paso es permitir dicho paquete: cree una regla Permitir con parámetros similares (es conveniente copiar la regla SAT y reemplazar la acción con Permitir).
notaEn este caso, las reglas deben estar exactamente en este orden: primero SAT, luego Permitir:
Recuerde que la regla del SAT debe estar por encima de la regla de permitir. Esto se debe al hecho de que un paquete, cuando cae dentro de una regla de permiso o denegación, no avanza más en la tabla de “Reglas”.
En este caso, la regla de permiso también se crea para el puerto y la dirección públicos:
Tenga en cuenta que el protocolo, la interfaz y los parámetros de red en la regla de autorización son los mismos que en la regla con la acción "SAT".
Me pareció que el paquete ya había sido procesado por la regla SAT una línea antes, y la dirección y el puerto de destino eran nuevos, pero no, parece que el reemplazo ocurre en algún momento después de que se hayan procesado todas las demás reglas.
В La funcionalidad del SAT es profundamente reveladora y presenta muchas posibilidades interesantes. Mi objetivo era cubrir un tema que no estaba cubierto en esta instrucción ni en otras instrucciones. Espero que las instrucciones sean útiles y comprensibles.
Fuente: habr.com