من یک وظیفه داشتم - برای انتشار یک سرویس در روتر D-Link DFL در یک آدرس IP که به رابط wan متصل نیست. اما من نتوانستم دستورالعمل هایی را در اینترنت پیدا کنم که این مشکل را حل کند، بنابراین خودم را نوشتم.
داده های اولیه (همه آدرس ها به عنوان مثال در نظر گرفته شده اند)
وب سرور در شبکه داخلی با IP: 192.168.0.2 (بندر 8080).
مجموعه ای از آدرس های سفید خارجی تخصیص یافته توسط ارائه دهنده: ، دروازه ارائه دهنده: 5.255.255.1، آدرس های "ما" باقی مانده است 5.255.255.2-14.
آدرس ها را بگذارید 5.255.255.2-10 ما از آن برای NAT و سایر نیازها استفاده می کنیم. لینک ارائه دهنده به پورت متصل است Wan1. برای رابط Wan1 آدرس پیوند داده شد 5.255.255.2.
وظیفه: یک وب سرور داخلی را در یک آدرس عمومی منتشر کنید 5.255.255.11، در بندر 80.
راه حل مختصر است
برای انتشار یک سرویس در یک IP که با آدرس رابط مطابقت ندارد، به موارد زیر نیاز دارید:
- به روتر نشان دهید که ip منتشر شده باید به صورت داخلی جستجو شود .
- انتشارات به طوری که روتر به همسایگان پاسخ دهد که آدرس منتشر شده متعلق به آن است.
- قانون دیوار آتش () که در داخل روتر آدرس مقصد را به آدرس سرور نهایی تغییر می دهد.
- قانون فایروال (Allow) که اجازه اتصال از رابط خارجی به آدرس منتشر شده در داخل روتر را می دهد
و اکنون کمی بیشتر در مورد هر نقطه
پرورش
I. ابتدا، بیایید برای همه نیازهای خود "اشیاء" ایجاد کنیم (اکنون روند رابط وب را نشان می دهم، فکر می کنم کسانی که با کنسول کار می کنند می توانند اقدامات را به دستورات کنسول منتقل کنند).
1. دو آدرس ipv4 را به دفترچه آدرس اضافه کنید:
وب سرور = 192.168.0.2
وب سرور عمومی = 5.255.255.11
2. سپس پورت ها را به لیست خدمات اضافه می کنیم:
int_http = tcp:8080
بندر tcp:80 در حال حاضر در لیست خدمات به نام وجود دارد HTTP، دارای محدودیت در 2000 جلسات، حد را می توان تنظیم کرد.
آهمعلوم شد که نیازی به اضافه کردن پورت سرور در شبکه داخلی نیست، اما آن را رها می کنم زیرا ... ممکن است یک مثال برای یک پورت عمومی مورد نیاز باشد، اما آنها به همین ترتیب اضافه می شوند
II. بیایید مستقیماً به راه حل برویم.
پاراگراف 1 и 2 می توان ترکیب کرد، زیرا هنگام اضافه کردن یک مسیر استاتیک، امکان ارائه فوری ARP وجود دارد. صادقانه بگویم، من بلافاصله این فرصت را ندیدم و انتشار را به صورت دستی تنظیم کردم؛ روتر نیز چنین عملکردی دارد.
1. بنابراین، اگر هنوز دسته ای از جدول های مسیریابی و قوانین برای آنها ایجاد نکرده اید، پس همه چیز را می توان در جدول مسیریابی اصلی انجام داد، به آن می گویند. اصلی.
جدول اصلییک مسیر پیش فرض به شبکه وجود خواهد داشت 5.255.255.0/28 در هر رابط Wan1. و این مسیر با متریک مشخص شده در تنظیمات رابط مطابقت دارد (به طور پیش فرض 100).
برای جلوگیری از ارسال بسته ها توسط دروازه به رابط Wan1، باید یک مسیر ثابت به آدرس ایجاد کنید وب سرور عمومی به رابط هسته با متریک کمتر 100 (متریک رابط کوچکتر Wan1) - سپس دروازه آن را "در درون خود" جستجو می کند.
2. در آنجا، هنگام ایجاد یک مسیر، می توانید پروکسی ARP را پیکربندی کنید تا دروازه به درخواست های ARP پاسخ دهد. در برگه Proxy ARP، یک رابط WAN اضافه کنید.
یک مسیر ایجاد کنید، اما روی OK کلیک نکنید، بلکه به برگه دوم Proxy ARP بروید:
ARP، یک رابط اضافه کنید Wan1:
3. در نهایت، به راه اندازی NAT و فایروال می رویم (این قبلاً با جزئیات کافی در ).
ما یک قانون SAT ایجاد می کنیم تا در بسته از رابط Wan1 با آدرس مقصد وب سرور عمومی بندر مقصد HTTP، که ما مسیری را برای اینترفیس پیکربندی کرده ایم هسته، آدرس مقصد را با آدرس داخلی سرور ما جایگزین کنید وب سرور و پورت روشن 8080.
4. و مرحله بعدی اجازه دادن به چنین بسته ای است - یک قانون Allow با پارامترهای مشابه ایجاد کنید (به راحتی می توانید قانون SAT را کپی کنید و عمل را با Allow جایگزین کنید).
توجه داشته باشیددر این مورد، قوانین باید دقیقاً به این ترتیب باشد: ابتدا SAT، سپس Allow:
به یاد داشته باشید که قانون SAT باید بالاتر از قانون مجاز باشد. این به دلیل این واقعیت است که یک بسته، زمانی که در یک قانون مجاز یا انکار قرار میگیرد، از جدول "قوانین" بیشتر نمیرود.
در این مورد، قانون اجازه نیز برای پورت عمومی و آدرس ایجاد می شود:
لطفاً توجه داشته باشید که پارامترهای پروتکل، رابط و شبکه در قانون مجاز مانند قانون با عملکرد "SAT" است.
به نظر من این بسته قبلاً توسط قانون SAT یک خط قبل پردازش شده بود و آدرس مقصد و پورت جدید بودند، اما نه، به نظر می رسد جایگزینی زمانی پس از پردازش همه قوانین دیگر رخ می دهد.
В عملکرد SAT عمیقاً آشکار شده است؛ بسیاری از امکانات جالب را ارائه می دهد. هدف من این بود که به موضوعی بپردازم که در این دستورالعمل و دستورالعمل های دیگر مطرح نشده بود. امیدوارم دستورالعمل ها مفید و قابل درک باشد.
منبع: www.habr.com