J'avais une tâche : publier un service sur le routeur D-Link DFL à une adresse IP qui n'est pas liée à l'interface wan. Mais je n'ai pas trouvé d'instructions sur Internet qui permettraient de résoudre ce problème, alors j'ai écrit la mienne.
Données initiales (toutes les adresses sont prises à titre d'exemple)
Serveur Web sur réseau interne avec IP : 192.168.0.2 (port 8080).
Pool d'adresses blanches externes allouées par le fournisseur : , passerelle du fournisseur : 5.255.255.1, les « nos » adresses restantes 5.255.255.2-14.
Laissez les adresses 5.255.255.2-10 nous l'utilisons pour le NAT et d'autres besoins. Le lien du fournisseur est connecté au port wan1. Pour interfacer wan1 adresse liée 5.255.255.2.
Tâche : publier un serveur Web interne sur une adresse publique 5.255.255.11, au port 80.
La solution est brève
Pour publier un service sur une IP qui ne correspond pas à l'adresse de l'interface il vous faudra :
- Indiquez au routeur que l'adresse IP publiée doit être recherchée en interne à l'aide de .
- Publication afin que le routeur réponde aux voisins que l'adresse publiée lui appartient.
- règle de pare-feu (), qui à l’intérieur du routeur changera l’adresse de destination en adresse du serveur final.
- Règle de pare-feu (Autoriser), qui permettra une connexion depuis l'interface externe vers l'adresse publiée à l'intérieur du routeur
Et maintenant un peu plus sur chaque point
Formation
I. Tout d'abord, créons des « Objets » pour tous nos besoins (je vais maintenant montrer le processus pour l'interface Web, je pense que ceux qui travaillent avec la console pourront transférer des actions vers les commandes de la console).
1. Ajoutez deux adresses IPv4 au carnet d'adresses :
web-server = 192.168.0.2
serveur Web public = 5.255.255.11
2. Ensuite, nous ajoutons des ports à la liste des services :
int_http = TCP : 8080
Port TCP : 80 est déjà présent dans la liste des services, appelés http, a une limitation dans 2000 sessions, la limite peut être ajustée.
ойIl s'est avéré qu'il n'est pas nécessaire d'ajouter un port serveur sur le réseau interne, mais je le laisse car... un exemple peut être nécessaire pour un port public, mais ils s'ajoutent de la même manière
II. Passons directement à la solution.
Article 1 и 2 peut être combiné, car Lors de l'ajout d'une route statique, il est possible de fournir immédiatement un ARP. Pour être honnête, je n'ai pas immédiatement vu cette opportunité et configuré la publication manuellement, le routeur dispose également d'une telle fonctionnalité.
1. Donc, si vous n'avez pas encore créé un tas de tables de routage et de règles pour celles-ci, alors tout peut être fait dans la table de routage principale, elle s'appelle principal.
Dans la table principalil y aura un chemin par défaut vers le réseau 5.255.255.0/28 par interface wan1. Et de cette route correspond à la métrique spécifiée dans les paramètres de l'interface (par défaut 100).
Pour empêcher la passerelle de renvoyer des paquets à l'interface wan1, vous devez créer une route statique vers l'adresse serveur Web public à l'interface core avec métrique moins 100 (métrique d'interface plus petite wan1) - alors la passerelle le cherchera « à l'intérieur d'elle-même ».
2. Là, lors de la création d'une route, vous pouvez configurer Proxy ARP pour que la passerelle réponde aux requêtes ARP. Dans l'onglet Proxy ARP, ajoutez une interface WAN.
créez une route, mais ne cliquez pas sur OK, mais allez dans le deuxième onglet Proxy ARP :
ARP, ajouter une interface wan1:
3.Enfin, nous passons à la configuration du NAT et du pare-feu (ceci est déjà décrit de manière suffisamment détaillée dans ).
Nous créons une règle SAT pour que dans le paquet de l'interface wan1 avec adresse de destination serveur Web public port de destination http, vers lequel nous avons configuré une route pour l'interface core, remplacez l'adresse de destination par l'adresse interne de notre serveur web-server et port sur 8080.
4. Et l'étape suivante consiste à autoriser un tel paquet - créez une règle Autoriser avec des paramètres similaires (il est pratique de copier la règle SAT et de remplacer l'action par Autoriser).
noteDans ce cas, les règles doivent être exactement dans cet ordre : d'abord SAT, puis Allow :
N'oubliez pas que la règle SAT doit être supérieure à la règle d'autorisation. Cela est dû au fait qu'un paquet, lorsqu'il tombe dans une règle d'autorisation ou de refus, ne va pas plus loin dans la table « Règles ».
Dans ce cas, la règle d'autorisation est également créée pour le port et l'adresse publics :
Veuillez noter que les paramètres de protocole, d'interface et de réseau dans la règle d'autorisation sont les mêmes que dans la règle avec l'action « SAT ».
Il m'a semblé que le paquet avait déjà été traité par la règle SAT une ligne plus tôt et que l'adresse de destination et le port étaient nouveaux, mais non, il semble que le remplacement se produise quelque temps après que toutes les autres règles aient été traitées.
В La fonctionnalité de SAT est profondément révélée ; elle présente de nombreuses possibilités intéressantes. Mon objectif était de traiter d'un problème qui n'était pas abordé dans cette instruction ni dans d'autres instructions. J'espère que les instructions seront utiles et compréhensibles.
Source: habr.com