Mul oli ülesanne - avaldada D-Linki DFL-ruuteris teenus IP-aadressil, mis pole wan-liidesega seotud. Kuid ma ei leidnud Internetist juhiseid, mis selle probleemi lahendaksid, nii et kirjutasin oma.
Algandmed (kõik aadressid on võetud näitena)
Veebiserver sisevõrgus IP-ga: 192.168.0.2 (port 8080).
Pakkuja eraldatud väliste valgete aadresside kogum: , pakkuja lüüs: 5.255.255.1, ülejäänud "meie" aadressid 5.255.255.2-14.
Las aadressid 5.255.255.2-10 kasutame seda NAT-i ja muude vajaduste jaoks. Pakkuja link on pordiga ühendatud wan1. Liidesesse wan1 aadress lingitud 5.255.255.2.
Ülesanne: avaldage sisemine veebiserver avalikule aadressile 5.255.255.11, sadamas 80.
Lahendus on lühike
Teenuse avaldamiseks IP-l, mis ei vasta liidese aadressile, vajate:
- Märkige ruuterile, et avaldatud IP-d tuleks otsida sisemiselt, kasutades .
- Avaldamine nii et ruuter vastab naabritele, et avaldatud aadress kuulub talle.
- tulemüüri reegel (), mis ruuteris muudab sihtkoha aadressi lõpliku serveri aadressiks.
- Tulemüürireegel (Luba), mis võimaldab luua ühenduse väliselt liideselt ruuteris avaldatud aadressiga
Ja nüüd iga punkti kohta natuke lähemalt
Koolitus
I. Esiteks loome kõigi meie vajaduste jaoks "Objektid" (nüüd näitan veebiliidese protsessi, arvan, et need, kes töötavad konsooliga, saavad toiminguid konsooli käskudesse üle kanda).
1. Lisage aadressiraamatusse kaks ipv4-aadressi:
web-server = 192.168.0.2
avalik-veebiserver = 5.255.255.11
2. Seejärel lisame teenuste loendisse pordid:
int_http = tcp:8080
Sadam tcp:80 on juba teenuste loendis, nn http, sellel on piirang 2000 seansse, saab limiiti reguleerida.
ойSelgus, et sisevõrku polegi vaja serveriporti lisada, aga jätan selle, sest... näide võib olla vajalik avaliku pordi jaoks, kuid need lisatakse samamoodi
II. Liigume otse lahenduse juurde.
Kirje 1 и 2 saab kombineerida, sest Staatilise marsruudi lisamisel on võimalik kohe anda ARP. Ausalt öeldes ei näinud ma seda võimalust kohe ja seadistasin väljaande käsitsi, ka ruuteril on selline funktsioon.
1. Seega, kui te pole veel hunnikut marsruutimistabeleid ja nende jaoks reegleid loonud, siis saab kõike teha põhimarsruutimistabelis, mida nimetatakse põhiline.
Tabel põhilineseal on võrgu vaiketee 5.255.255.0/28 liidese kohta wan1. Ja selle marsruudi väärtus vastab liidese seadetes määratud mõõdikule (vaikimisi 100).
Et lüüs ei saadaks liidesele tagasi pakette wan1, peate looma staatilise marsruudi aadressile avalik-veebiserver liidesesse tuum väiksema meetriga 100 (väiksem liidese mõõdik wan1) - siis otsib värav seda “enda seest”.
2. Seal saab marsruudi loomisel seadistada Proxy ARP nii, et lüüs vastab ARP päringutele. Lisage vahekaardile Puhverserveri ARP WAN-liides.
looge marsruut, kuid ärge klõpsake nuppu OK, vaid minge teisele puhverserveri ARP vahekaardile:
ARP, lisage liides wan1:
3.Lõpuks liigume edasi NAT-i ja tulemüüri seadistamise juurde (seda on juba piisavalt üksikasjalikult kirjeldatud ).
Loome SAT-reegli, nii et paketis liidesest wan1 sihtkoha aadressiga avalik-veebiserver sihtsadam http, millele oleme konfigureerinud liidese marsruudi tuum, asendage sihtkoha aadress meie serveri siseaadressiga web-server ja port sisse 8080.
4. Ja järgmine samm on sellise paketi lubamine - looge sarnaste parameetritega reegel Luba (mugav on kopeerida SAT-reegel ja asendada toiming käsuga Luba).
MärgeSel juhul peaksid reeglid olema täpselt sellises järjekorras: kõigepealt SAT, seejärel luba:
Pidage meeles, et SAT-reegel peab olema lubamise reeglist kõrgem. See on tingitud asjaolust, et kui pakett langeb lubava või keelava reegli alla, siis tabelit "Reeglid" edasi ei liigu.
Sel juhul luuakse lubamise reegel ka avaliku pordi ja aadressi jaoks:
Pange tähele, et lubamisreegli protokoll, liides ja võrguparameetrid on samad, mis toiminguga SAT reeglis.
Mulle tundus, et paketti oli SAT-reegliga juba rida varem töödeldud ning sihtkoha aadress ja port olid uued, kuid ei, näib, et asendamine toimub millalgi pärast kõigi muude reeglite töötlemist.
В SAT-i funktsionaalsus on sügavalt paljastatud, see pakub palju huvitavaid võimalusi. Minu eesmärk oli käsitleda probleemi, mida selles juhendis ja teistes juhendites ei käsitletud. Loodan, et juhised on kasulikud ja arusaadavad.
Allikas: www.habr.com