Tiven unha tarefa: publicar un servizo no router DFL D-Link nun enderezo IP que non estea vinculado á interface wan. Pero non puiden atopar instrucións en Internet que resolveran este problema, así que escribín as miñas.
Datos iniciais (todos os enderezos tómanse como exemplo)
Servidor web na rede interna con IP: 192.168.0.2 (Porto 8080).
Grupo de enderezos brancos externos asignados polo provedor: , pasarela do provedor: 5.255.255.1, os restantes enderezos "nosos". 5.255.255.2-14.
Deixa os enderezos 5.255.255.2-10 usámolo para NAT e outras necesidades. A ligazón do provedor está conectada ao porto wan1. Para interface wan1 enderezo ligado 5.255.255.2.
Tarefa: publicar un servidor web interno nun enderezo público 5.255.255.11, no porto 80.
A solución é breve
Para publicar un servizo nunha IP que non se corresponda co enderezo da interface, necesitarás:
- Indíquelle ao router que a ip publicada debe buscarse internamente usando .
- Publicación para que o router responda aos veciños que a dirección publicada lle pertence.
- regra do firewall (), que dentro do router cambiará o enderezo de destino polo enderezo do servidor final.
- Regra de firewall (Permitir), que permitirá unha conexión desde a interface externa ao enderezo publicado dentro do router
E agora un pouco máis sobre cada punto
Adestramento
I. En primeiro lugar, imos crear "Obxectos" para todas as nosas necesidades (agora mostrarei o proceso para a interface web, creo que os que traballen coa consola poderán transferir accións aos comandos da consola).
1. Engade dous enderezos ipv4 á axenda de enderezos:
servidor web = 192.168.0.2
servidor web público = 5.255.255.11
2. Despois engadimos portos á lista de servizos:
int_http = tcp: 8080
Porto tcp: 80 xa está presente na lista de servizos, convocada http, ten unha limitación en 2000 sesións, o límite pódese axustar.
ойResultou que non hai que engadir un porto de servidor na rede interna, pero déixoo porque... pode ser necesario un exemplo para un porto público, pero engádense do mesmo xeito
II. Pasemos directamente á solución.
Parágrafo 1 и 2 pódese combinar, porque Ao engadir unha ruta estática, é posible proporcionar inmediatamente ARP. Para ser honesto, non vin inmediatamente esta oportunidade e configurei a publicación manualmente o enrutador tamén ten tal funcionalidade.
1. Entón, se aínda non creou unha morea de táboas de enrutamento e regras para elas, todo pódese facer na táboa de enrutamento principal, chámase Inicio.
Táboa Iniciohaberá un camiño predeterminado á rede 5.255.255.0/28 por interface wan1. E desta ruta coincide coa métrica especificada na configuración da interface (por defecto 100).
Para evitar que a pasarela envíe paquetes de volta á interface wan1, cómpre crear unha ruta estática ao enderezo servidor web público á interface núcleo con métrica menos 100 (métrica de interface máis pequena wan1) - entón a pasarela buscarao "dentro de si".
2. Alí, ao crear unha ruta, pode configurar Proxy ARP para que a pasarela responda ás solicitudes ARP. Na pestana Proxy ARP, engade unha interface WAN.
cree unha ruta, pero non faga clic en Aceptar, senón que vai á segunda pestana Proxy ARP:
ARP, engade unha interface wan1:
3.Por último, pasamos á configuración de NAT e firewall (isto xa se describe con suficiente detalle en ).
Creamos unha regra SAT para que no paquete desde a interface wan1 con enderezo de destino servidor web público porto de destino http, ao que configuramos unha ruta para a interface núcleo, substitúe o enderezo de destino polo enderezo interno do noso servidor servidor web e porto 8080.
4. E o seguinte paso é permitir tal paquete: cree unha regra de Permitir con parámetros similares (é conveniente copiar a regra SAT e substituír a acción por Permitir).
NotaNeste caso, as regras deberían estar exactamente nesta orde: primeiro SAT, despois Permitir:
Lembra que a regra SAT debe estar por riba da regra de permitido. Isto débese ao feito de que un paquete, cando cae nunha regra de permiso ou denegación, non pasa máis lonxe pola táboa "Regras".
Neste caso, tamén se crea a regra de permiso para o porto e o enderezo público:
Teña en conta que os parámetros de protocolo, interface e rede na regra de permiso son os mesmos que na regra coa acción "SAT".
Pareceume que o paquete xa fora procesado pola regra SAT unha liña antes, e o enderezo de destino e o porto eran novos, pero non, parece que a substitución ocorre nalgún momento despois de que todas as demais regras foron procesadas.
В A funcionalidade de SAT está profundamente revelada, presenta moitas posibilidades interesantes. O meu obxectivo era cubrir un problema que non estaba tratado nesta instrución e noutras instrucións. Espero que as instrucións sexan útiles e comprensibles.
Fonte: www.habr.com