Ik hie in taak - te publisearjen in tsjinst op de D-Link DFL router op in IP-adres dat is net bûn oan de wan ynterface. Mar ik koe gjin ynstruksjes fine op it ynternet dy't dit probleem soe oplosse, dus ik skreau myn eigen.
Inisjele gegevens (alle adressen wurde as foarbyld nommen)
Webserver op ynterne netwurk mei IP: 192.168.0.2 (haven 8080).
Pool fan eksterne wite adressen tawiisd troch de provider: , provider gateway: 5.255.255.1, de oerbleaune "ús" adressen 5.255.255.2-14.
Lit de adressen 5.255.255.2-10 wy brûke it foar NAT en oare behoeften. De provider keppeling is ferbûn mei de haven wan1. Om ynterface wan1 adres keppele 5.255.255.2.
Taak: publisearje in ynterne webserver nei in iepenbier adres 5.255.255.11, by de haven 80.
De oplossing is koart
Om in tsjinst te publisearjen op in IP dy't net oerienkomt mei it ynterface-adres, sille jo nedich wêze:
- Jou de router oan dat de publisearre ip yntern socht wurde moat mei .
- Publikaasje sadat de router nei buorlju reagearret dat it publisearre adres derby heart.
- firewall regel (), dy't binnen de router it bestimmingsadres sil feroarje nei it adres fan 'e definitive tsjinner.
- Firewall-regel (Tastean), wêrtroch in ferbining fan 'e eksterne ynterface nei it publisearre adres binnen de router sil tastean
En no wat mear oer elk punt
Tarieding fan
I. Litte wy earst "Objekten" oanmeitsje foar al ús behoeften (no sil ik it proses foar de webynterface sjen litte, ik tink dat dejingen dy't mei de konsole wurkje, aksjes kinne oerdrage nei konsole-kommando's).
1. Foegje twa ipv4-adressen ta oan it adresboek:
web-tsjinner = 192.168.0.2
iepenbiere-webserver = 5.255.255.11
2. Dan foegje wy havens ta oan 'e list mei tsjinsten:
int_http = oer:8080
Port oer:80 is al oanwêzich yn de list fan tsjinsten, neamd http, hat in beheining yn 2000 sesjes, de limyt kin oanpast wurde.
ohIt die bliken dat d'r gjin ferlet is om in serverpoarte ta te foegjen oan it ynterne netwurk, mar ik lit it om't ... in foarbyld kin nedich wêze foar in iepenbiere haven, mar se wurde tafoege op deselde wize
II. Litte wy direkt nei de oplossing gean.
Paragraaf 1 и 2 kin wurde kombinearre, omdat By it tafoegjen fan in statyske rûte is it mooglik om fuortendaliks ARP te leverjen. Om earlik te wêzen, haw ik dizze kâns net fuortendaliks sjoen en de publikaasje manuell ynsteld; de router hat ek sa'n funksjonaliteit.
1. Dus, as jo noch gjin bulte routingtabellen en regels foar har makke hawwe, dan kin alles dien wurde yn 'e haadroutingtabel, it hjit main.
Tafel mainder sil in standert paad nei it netwurk wêze 5.255.255.0/28 per ynterface wan1. En fan dizze rûte komt oerien mei de metryske spesifisearre yn 'e ynterface-ynstellingen (standert 100).
Om foar te kommen dat de poarte pakketten werom stjoert nei de ynterface wan1, Jo moatte in statyske rûte oanmeitsje nei it adres iepenbiere-webserver nei de ynterface kearn mei metrysk minder 100 (lytsere ynterface metrysk wan1) - dan sil de poarte it "yn himsels" sykje.
2. Dêr, by it meitsjen fan in rûte, kinne jo ynstelle Proxy ARP sadat de poarte reagearret op ARP fersiken. Foegje op it ljepblêd Proxy ARP in WAN-ynterface ta.
meitsje in rûte, mar klik net op OK, mar gean nei de twadde Proxy ARP ljepper:
ARP, foegje in ynterface ta wan1:
3.Uteinlik geane wy troch nei it ynstellen fan NAT en firewall (dit is al yn genôch detail beskreaun yn ).
Wy meitsje in SAT regel sadat yn it pakket fan de ynterface wan1 mei bestimmingsadres iepenbiere-webserver haven fan bestimming http, dêr't wy in rûte foar de ynterface ynsteld hawwe kearn, ferfange it bestimmingsadres mei it ynterne adres fan ús tsjinner web-tsjinner en haven oan 8080.
4. En de folgjende stap is om sa'n pakket te tastean - meitsje in Allow-regel mei ferlykbere parameters (it is handich om de SAT-regel te kopiearjen en de aksje te ferfangen mei Allow).
noatYn dit gefal moatte de regels yn krekt dizze folchoarder wêze: earst SAT, dan Tastean:
Unthâld dat de SAT-regel moat wêze boppe de tastiene regel. Dit komt troch it feit dat in pakket, as it falt yn in tastean of wegerje regel, giet net fierder troch de "Rules" tabel.
Yn dit gefal wurdt de tasteanregel ek makke foar de iepenbiere haven en adres:
Tink derom dat it protokol, ynterface en netwurkparameters yn 'e tastimmingsregel itselde binne as yn' e regel mei de aksje "SAT".
It like my ta dat it pakket wie al ferwurke troch de SAT-regel in rigel earder, en it bestimmingsadres en poarte wiene nij, mar nee, it liket derop dat de ferfanging ienris nei't alle oare regels binne ferwurke.
В De funksjonaliteit fan SAT wurdt djip iepenbiere; it presintearret in protte nijsgjirrige mooglikheden. Myn doel wie om in probleem te dekken dat net yn dizze ynstruksje en yn oare ynstruksjes waard behannele. Ik hoopje dat de ynstruksjes nuttich en begryplik sille wêze.
Boarne: www.habr.com