Zeregin bat nuen: D-Link DFL bideratzailean zerbitzu bat argitaratzea wan interfazeari lotuta ez dagoen IP helbide batean. Baina Interneten ezin izan nuen arazo hau konponduko zuen argibiderik aurkitu, beraz, nirea idatzi nuen.
Hasierako datuak (helbide guztiak adibide gisa hartzen dira)
Web zerbitzaria barne sarean IP batekin: 192.168.0.2 (portua 8080).
Hornitzaileak esleitutako kanpoko helbide zurien multzoa: , hornitzailearen atea: 5.255.255.1, gainerako "gure" helbideak 5.255.255.2-14.
Utzi helbideak 5.255.255.2-10 NAT eta beste beharretarako erabiltzen dugu. Hornitzailearen esteka portura konektatuta dago wan1. Interfazea egiteko wan1 helbidea lotuta 5.255.255.2.
Zeregin: barneko web zerbitzari bat helbide publiko batean argitaratzea 5.255.255.11, portuan 80.
Irtenbidea laburra da
Interfazearen helbidearekin bat ez datorren IP batean zerbitzu bat argitaratzeko behar duzu:
- Adierazi bideratzaileari argitaratutako ip-a barnean bilatu behar dela erabiliz .
- argitalpen horrela bideratzaileak auzokideei erantzun die argitaratutako helbidea berea dela.
- suebakiaren araua (), bideratzailearen barruan helmuga helbidea azken zerbitzariaren helbidera aldatuko duena.
- Firewall araua (Baimendu), kanpoko interfazetik bideratzailearen barruan argitaratutako helbidera konektatzeko aukera emango duena
Eta orain puntu bakoitzari buruz pixka bat gehiago
Prestakuntza
I. Lehenik eta behin, sor ditzagun gure behar guztietarako βObjektuakβ (orain web interfazearen prozesua erakutsiko dut, kontsolarekin lan egiten dutenek kontsolaren komandoetara ekintzak transferitzeko gai izango direla uste dut).
1. Gehitu bi ipv4 helbide helbide-liburura:
web-zerbitzaria = 192.168.0.2
web-zerbitzari publikoa = 5.255.255.11
2. Ondoren, portuak gehitzen ditugu zerbitzuen zerrendara:
int_http = tcp: 8080
portu tcp: 80 dagoeneko zerbitzuen zerrendan dago, deituta http, muga bat dauka 2000 saioak, muga egokitu daiteke.
aiAgertu zen barne sarean zerbitzari atakarik gehitu beharrik ez dagoela, baina uzten dut zeren... portu publiko baterako adibide bat behar izan daiteke, baina era berean gehitzen dira
II. Goazen zuzenean konponbidera.
Paragrafoa 1 ΠΈ 2 konbinatu daiteke, izan ere Ibilbide estatiko bat gehitzean, ARP berehala ematea posible da. Egia esateko, ez nuen berehala ikusi aukera hau eta eskuz konfiguratu argitalpena bideratzaileak ere badu halako funtzionaltasuna.
1. Beraz, oraindik bideratze-taula eta arau mordo bat sortu ez baduzu haientzat, dena egin daiteke bideratze-taula nagusian, deitzen da. nagusia.
Taula nagusiasarerako bide lehenetsi bat egongo da 5.255.255.0/28 interfaze bakoitzeko wan1. eta ibilbide honen interfazearen ezarpenetan zehaztutako metrika bat dator (lehenespenez 100).
Pasabideak interfazera paketeak berriro bidal ez ditzan wan1, helbidera bide estatiko bat sortu behar duzu web-zerbitzari publikoa interfazera core metrika gutxiagorekin 100 (interfazearen metrika txikiagoa wan1) - orduan ateak "bere baitan" bilatuko du.
2. Bertan, ibilbide bat sortzean, Proxy ARP konfigura dezakezu atebideak ARP eskaerei erantzuteko. Proxy ARP fitxan, gehitu WAN interfaze bat.
sortu ibilbide bat, baina ez egin klik Ados, baizik eta bigarren Proxy ARP fitxara joan:
ARP, gehitu interfaze bat wan1:
3.Azkenik, NAT eta suebakia konfiguratzera igaroko gara (hau nahikoa xehetasunez deskribatuta dago dagoeneko. ).
SAT arau bat sortzen dugu interfazearen paketean wan1 helmuga helbidearekin web-zerbitzari publikoa helmugako portua http, horretarako ibilbide bat konfiguratu dugu interfazearentzat core, ordezkatu helmuga helbidea gure zerbitzariaren barne helbidearekin web-zerbitzaria eta portuan 8080.
4. Eta hurrengo urratsa pakete hori onartzea da: sortu baimendu araua antzeko parametroekin (erosoa da SAT araua kopiatzea eta ekintza Baimenduarekin ordezkatzea).
oharKasu honetan, arauak ordena honetan egon beharko lukete: lehenik SAT, gero Baimendu:
Gogoratu SAT arauak baimendu arauaren gainetik egon behar duela. Hau da, pakete bat, baimendu edo ukatze-arau batean erortzen denean, "Arauak" taulatik aurrera ez doalako.
Kasu honetan, baimen-araua ere sortzen da portu eta helbide publikorako:
Kontuan izan baimen-arauko protokoloa, interfazea eta sare-parametroak "SAT" ekintzaren arauaren berdinak direla.
Iruditu zitzaidan paketea lehendik lerro bat lehenago prozesatu zuela SAT arauak, eta helmuga helbidea eta ataka berriak zirela, baina ez, badirudi ordezkapena beste arau guztiak prozesatu ondoren gertatzen dela.
Π SATen funtzionaltasuna sakonki agerian dago, aukera interesgarri asko aurkezten ditu. Nire helburua argibide honetan eta beste argibide batzuetan landu ez zen arazo bat estaltzea zen. Argibideak erabilgarriak eta ulergarriak izatea espero dut.
Iturria: www.habr.com