Minulla oli tehtävä - julkaista palvelu D-Link DFL -reitittimessä IP-osoitteeseen, joka ei ole sidottu wan-liitäntään. Mutta en löytänyt Internetistä ohjeita, jotka ratkaisisivat tämän ongelman, joten kirjoitin omani.
Alkutiedot (kaikki osoitteet otetaan esimerkkinä)
Web-palvelin sisäisessä verkossa IP:llä: 192.168.0.2 (portti 8080).
Palveluntarjoajan osoittama ulkoisten valkoisten osoitteiden joukko: , palveluntarjoajan yhdyskäytävä: 5.255.255.1, loput "meidän" osoitteemme 5.255.255.2-14.
Anna osoitteet 5.255.255.2-10 käytämme sitä NAT- ja muihin tarpeisiin. Palveluntarjoajan linkki on yhdistetty porttiin wan1. Käyttöliittymään wan1 linkitetty osoite 5.255.255.2.
Tehtävä: julkaise sisäinen verkkopalvelin julkiseen osoitteeseen 5.255.255.11, satamassa 80.
Ratkaisu on lyhyt
Palvelun julkaiseminen IP-osoitteella, joka ei vastaa käyttöliittymäosoitetta, tarvitset:
- Ilmoita reitittimelle, että julkaistu IP-osoite tulee etsiä sisäisesti käyttämällä .
- Julkaisu niin, että reititin vastaa naapureille, että julkaistu osoite kuuluu sille.
- palomuurisääntö (), joka reitittimen sisällä muuttaa kohdeosoitteen lopullisen palvelimen osoitteeksi.
- Palomuurisääntö (Allow), joka sallii yhteyden ulkoisesta liitännästä julkaistuun osoitteeseen reitittimen sisällä
Ja nyt vähän enemmän jokaisesta kohdasta
Koulutus
I. Ensin luodaan "Objects" kaikkiin tarpeisiimme (nyt näytän verkkokäyttöliittymän prosessin, uskon, että konsolin kanssa työskentelevät voivat siirtää toimintoja konsolin komentoihin).
1. Lisää kaksi ipv4-osoitetta osoitekirjaan:
web-palvelin = 192.168.0.2
julkinen web-palvelin = 5.255.255.11
2. Sitten lisäämme portit palveluluetteloon:
int_http = tcp:8080
Satama tcp:80 on jo palveluluettelossa, ns http, sisältää rajoituksen 2000 istuntoja, rajaa voidaan säätää.
oiKävi ilmi, että sisäverkkoon ei tarvitse lisätä palvelinporttia, mutta jätän sen, koska... esimerkki saattaa olla tarpeen julkiselle portille, mutta ne lisätään samalla tavalla
II. Siirrytään suoraan ratkaisuun.
Erä 1 и 2 voidaan yhdistää, koska Staattista reittiä lisättäessä on mahdollista tarjota ARP välittömästi. Rehellisesti sanottuna en heti nähnyt tätä mahdollisuutta ja määrittänyt julkaisua manuaalisesti; myös reitittimessä on tällainen toiminto.
1. Joten, jos et ole vielä luonut joukkoa reititystaulukoita ja sääntöjä niille, niin kaikki voidaan tehdä pääreititystaulukossa, jota kutsutaan ns. tärkein.
Pöytä tärkeinsiellä on oletuspolku verkkoon 5.255.255.0/28 käyttöliittymää kohden wan1. ja tämän reitin vastaa käyttöliittymäasetuksissa määritettyä mittaria (oletuksena 100).
Estääksesi yhdyskäytävää lähettämästä paketteja takaisin käyttöliittymään wan1, sinun on luotava staattinen reitti osoitteeseen julkinen web-palvelin käyttöliittymään ydin metrillä vähemmän 100 (pienempi käyttöliittymämittari wan1) - silloin yhdyskäytävä etsii sitä "itsestään".
2. Siellä, kun luot reittiä, voit määrittää välityspalvelimen ARP:n niin, että yhdyskäytävä vastaa ARP-pyyntöihin. Lisää WAN-liitäntä Proxy ARP -välilehdelle.
luo reitti, mutta älä napsauta OK, vaan siirry toiseen välityspalvelimen ARP-välilehteen:
ARP, lisää käyttöliittymä wan1:
3. Lopuksi siirrymme NAT:n ja palomuurin asettamiseen (tämä on jo kuvattu riittävän yksityiskohtaisesti ).
Luomme SAT-säännön niin, että paketissa käyttöliittymästä wan1 kohdeosoitteella julkinen web-palvelin määränpää http, johon olemme määrittäneet reitin käyttöliittymälle ydin, korvaa kohdeosoite palvelimemme sisäisellä osoitteella web-palvelin ja portti päälle 8080.
4. Ja seuraava askel on sallia tällainen paketti - luo Salli-sääntö, jolla on samanlaiset parametrit (on kätevä kopioida SAT-sääntö ja korvata toiminto Salli).
HuomautusTässä tapauksessa sääntöjen tulisi olla täsmälleen tässä järjestyksessä: ensin SAT, sitten Salli:
Muista, että SAT-säännön on oltava sallimissäännön yläpuolella. Tämä johtuu siitä, että paketti, joka joutuu sallivaan tai kieltävään sääntöön, ei mene pidemmälle "Säännöt"-taulukon läpi.
Tässä tapauksessa sallimissääntö luodaan myös julkiselle portille ja osoitteelle:
Huomaa, että sallimissäännön protokolla-, liitäntä- ja verkkoparametrit ovat samat kuin SAT-toiminnon säännössä.
Minusta näytti siltä, että paketti oli käsitelty SAT-säännöllä jo riviä aikaisemmin ja kohdeosoite ja portti olivat uusia, mutta ei, näyttää siltä, että korvaaminen tapahtuu joskus sen jälkeen, kun kaikki muut säännöt on käsitelty.
В SAT:n toiminnallisuus paljastuu syvästi, se tarjoaa monia mielenkiintoisia mahdollisuuksia. Tavoitteeni oli käsitellä asiaa, jota ei käsitelty tässä ohjeessa ja muissa ohjeissa. Toivon, että ohjeet ovat hyödyllisiä ja ymmärrettäviä.
Lähde: will.com