Minun piti julkaista palvelu D-Linkin DFL-reitittimellä käyttäen IP-osoitetta, joka ei ole sidottu WAN-liitäntään. En löytänyt verkosta ohjeita tämän ongelman ratkaisemiseksi, joten kirjoitin omani.
Lähtötiedot (kaikki osoitteet ovat esimerkkinä)
Sisäverkossa oleva web-palvelin, jonka IP-osoite on: 192.168.0.2 (portti 8080).
Palveluntarjoajan allokoimien ulkoisten valkoisten osoitteiden pooli: , palveluntarjoajan yhdyskäytävä: 5.255.255.1, loput "meidän" osoitteet 5.255.255.2-14.
Anna osoitteiden 5.255.255.2-10 Käytämme sitä NAT:iin ja muihin tarkoituksiin. Palveluntarjoajan linkki on kytketty porttiin. wan1Käyttöliittymään wan1 osoite linkitetty 5.255.255.2.
Tehtävä: Julkaise sisäinen web-palvelin julkiseen osoitteeseen 5.255.255.11, satamassa 80.
Ratkaisu lyhyesti
Palvelun julkaisemiseksi IP-osoitteessa, joka ei vastaa rajapinnan osoitetta, tarvitset:
- Kerro reitittimelle, että julkaistua IP-osoitetta tulisi etsiä sisäisesti, käyttämällä .
- Julkaisu jotta reititin vastaa naapureilleen, että julkaistu osoite kuuluu sille.
- Palomuurisääntö (), joka reitittimen sisällä muuttaa kohdeosoitteen lopullisen palvelimen osoitteeksi.
- Palomuurisääntö (Salli), joka sallii yhteydet ulkoisesta rajapinnasta reitittimen sisällä julkaistuun osoitteeseen
Nyt hieman tarkemmin jokaisesta kohdasta.
Koulutus
I. Luodaan ensin "Objekteja" kaikkia tarpeitamme varten (nyt näytän prosessin web-käyttöliittymälle, mielestäni konsolin kanssa työskentelevät pystyvät siirtämään toiminnot konsolikomentoihin).
1. Lisää kaksi IPv4-osoitetta osoitekirjaan:
web-palvelin = 192.168.0.2
julkinen web-palvelin = 5.255.255.11
2. Sitten lisäämme portit palveluluetteloon:
int_http = tcp:8080
Satama tcp:80 on jo palveluluettelossa, nimeltään http, on rajoitus 2000 istuntoja, rajaa voidaan säätää.
oiPalvelinportin lisääminen sisäiseen verkkoon ei ole ollenkaan välttämätöntä, mutta jätän sen tähän, koska esimerkkiä saatetaan tarvita julkiselle portille ja ne lisätään samalla tavalla.
II. Siirrytään suoraan ratkaisuun.
Erä 1 и 2 voidaan yhdistää, koska staattista reittiä lisättäessä on mahdollista tarjota välittömästi ARP. Rehellisesti sanottuna en huomannut tätä vaihtoehtoa heti ja asetin julkaisun manuaalisesti; reitittimessä on myös tämä toiminto.
1. Jos et ole vielä luonut useita reititystaulukoita ja niiden sääntöjä, kaikki voidaan tehdä pääreititystaulukossa, jota kutsutaan nimellä tärkein.
Pöytä tärkeinverkon oletuspolku on 5.255.255.0/28 käyttöliittymässä wan1. ja tämä reitti vastaa käyttöliittymän asetuksissa määritettyä mittaria (oletusarvoisesti 100).
Estääksesi yhdyskäytävää lähettämästä paketteja takaisin rajapintaan wan1, sinun on luotava staattinen reitti osoitteeseen julkinen web-palvelin käyttöliittymään ydin pienemmällä metrillä 100 (pienemmät käyttöliittymämetriikat wan1) - sitten yhdyskäytävä etsii sitä "itsestään".
2. Reittiä luodessasi voit myös määrittää Proxy ARP:n niin, että yhdyskäytävä vastaa ARP-pyyntöihin. Lisää Proxy ARP -välilehdellä WAN-liitäntä.
Luomme reitin, mutta emme napsauta OK, vaan siirrymme toiseen välilehteen Välityspalvelin ARP:
ARP, rajapinnan lisääminen wan1:
3. Lopuksi siirrymme NAT:n ja palomuurin konfigurointiin (tämä on jo kuvattu riittävän yksityiskohtaisesti kohdassa ).
Luomme SAT-säännön siten, että rajapinnan paketissa wan1 kohdeosoitteen kanssa julkinen web-palvelin määräsatama http, johon konfiguroimme reitin rajapintaan ydin, korvaa kohdeosoite palvelimemme sisäisellä osoitteella web-palvelin ja portti päällä 8080.
4. Seuraava vaihe on sallia tällainen paketti - luo Salli-sääntö samankaltaisilla parametreilla (on kätevää kopioida SAT-sääntö ja korvata toiminto Salli-sääntöllä).
HuomautusTässä tapauksessa sääntöjen on oltava täsmälleen tässä järjestyksessä: ensin SAT, sitten Allow:
Muista, että SAT-säännön on oltava sallimissäännön yläpuolella. Tämä johtuu siitä, että paketti, joka kohtaa sallimis- tai estämissäännön, ei etene pidemmälle "Säännöt"-taulukossa.
Tässä tapauksessa sallimissääntö luodaan myös julkiselle portille ja osoitteelle:
Huomaa, että sallimissäännön protokolla-, liitäntä- ja verkkoparametrit ovat samat kuin "SAT"-toiminnon säännössä.
Minusta näytti siltä, että SAT-sääntö oli jo käsitellyt paketin riviä aiemmin, ja siinä oleva osoite ja kohdeportti olivat uudet, mutta ei, vaan korvaus näyttää tapahtuvan joskus sen jälkeen, kun kaikki muut säännöt on käsitelty.
В SAT-toiminnallisuutta on tutkittu perusteellisesti, ja se tarjoaa monia mielenkiintoisia mahdollisuuksia. Tavoitteenani oli käsitellä aihetta, jota ei ole käsitelty tässä tai muissa oppaissa. Toivon, että tämä opas on hyödyllinen ja selkeä.
Lähde: will.com
