Imao sam zadatak - objaviti uslugu na D-Link DFL routeru na IP adresi koja nije vezana za wan sučelje. Ali na internetu nisam mogao pronaći upute koje bi riješile ovaj problem, pa sam napisao svoje.
Početni podaci (sve adrese su uzete kao primjer)
Web poslužitelj na internoj mreži s IP-om: 192.168.0.2 (luka 8080).
Skup vanjskih bijelih adresa koje je dodijelio pružatelj: , pristupnik pružatelja: 5.255.255.1, preostale “naše” adrese 5.255.255.2-14.
Neka adrese 5.255.255.2-10 koristimo ga za NAT i druge potrebe. Veza pružatelja usluga povezana je s portom slab1. Za sučelje slab1 adresa povezana 5.255.255.2.
Zadatak: objaviti interni web poslužitelj na javnoj adresi 5.255.255.11, u luci 80.
Rješenje je kratko
Za objavljivanje usluge na IP-u koji ne odgovara adresi sučelja trebat će vam:
- Naznačite usmjerivaču da se objavljeni IP treba interno pretraživati pomoću .
- objavljivanje tako da ruter odgovori susjedima da objavljena adresa pripada njemu.
- pravilo vatrozida (), koji će unutar usmjerivača promijeniti odredišnu adresu u adresu konačnog poslužitelja.
- Pravilo vatrozida (Dopusti), koje će omogućiti vezu s vanjskog sučelja na objavljenu adresu unutar usmjerivača
A sada malo više o svakoj točki
Trening
I. Prvo, kreirajmo “Objekte” za sve naše potrebe (sada ću pokazati proces za web sučelje, mislim da će oni koji rade s konzolom moći prenijeti radnje na naredbe konzole).
1. Dodajte dvije ipv4 adrese u adresar:
web-poslužitelja = 192.168.0.2
javni web-poslužitelj = 5.255.255.11
2. Zatim dodamo portove na popis usluga:
int_http = tcp:8080
Luka tcp:80 je već prisutan na popisu usluga, tzv http, ima ograničenje u 2000 sesije, ograničenje se može prilagoditi.
ohIspostavilo se da nema potrebe dodavati poslužiteljski port na internoj mreži, ali ga ostavljam jer... primjer može biti potreban za javnu luku, ali oni se dodaju na isti način
II. Prijeđimo izravno na rješenje.
stavak 1 и 2 mogu se kombinirati, jer Prilikom dodavanja statičke rute, moguće je odmah osigurati ARP. Da budem iskren, nisam odmah vidio ovu priliku i ručno postavio publikaciju; ruter također ima takvu funkciju.
1. Dakle, ako još niste stvorili hrpu tablica usmjeravanja i pravila za njih, onda se sve može učiniti u glavnoj tablici usmjeravanja, zove se glavni.
Stol glavnipostojat će zadana staza do mreže 5.255.255.0/28 po sučelju slab1, i ove rute odgovara metrici navedenoj u postavkama sučelja (prema zadanim postavkama 100).
Kako biste spriječili pristupnik da šalje pakete natrag na sučelje slab1, trebate stvoriti statičnu rutu do adrese javni web-poslužitelj na sučelje srž s metrikom manje 100 (manja metrika sučelja slab1) - tada će ga pristupnik tražiti "u sebi".
2. Tamo, kada kreirate rutu, možete konfigurirati Proxy ARP tako da pristupnik odgovara na ARP zahtjeve. Na kartici Proxy ARP dodajte WAN sučelje.
kreirajte rutu, ali nemojte kliknuti OK, već idite na drugu karticu Proxy ARP:
ARP, dodaj sučelje slab1:
3. Konačno, prelazimo na postavljanje NAT-a i vatrozida (ovo je već dovoljno detaljno opisano u ).
SAT pravilo stvaramo tako da u paketu iz sučelja slab1 s odredišnom adresom javni web-poslužitelj odredišna luka http, za koji smo konfigurirali rutu za sučelje srž, zamijenite odredišnu adresu internom adresom našeg poslužitelja web-poslužitelja i luka na 8080.
4. Sljedeći korak je dopustiti takav paket - izradite pravilo Dopusti sa sličnim parametrima (prikladno je kopirati SAT pravilo i zamijeniti radnju s Dopusti).
BilješkaU ovom slučaju, pravila bi trebala biti točno ovim redoslijedom: prvo SAT, zatim Dopusti:
Upamtite da SAT pravilo mora biti iznad dopuštenog pravila. To je zbog činjenice da paket, kada padne u dopuštajuće ili odbijajuće pravilo, ne ide dalje kroz tablicu "Pravila".
U ovom slučaju, dopušteno pravilo također se stvara za javni priključak i adresu:
Imajte na umu da su protokol, sučelje i mrežni parametri u dopuštajućem pravilu isti kao u pravilu s radnjom "SAT".
Činilo mi se da je paket već bio obrađen SAT pravilom jedan redak ranije, a odredišna adresa i port bili su novi, ali ne, čini se da se zamjena događa nakon što su obrađena sva druga pravila.
В Funkcionalnost SAT-a je duboko razotkrivena; nudi mnoge zanimljive mogućnosti. Cilj mi je bio pokriti problem koji nije obuhvaćen ovom uputom i drugim uputama. Nadam se da će upute biti korisne i razumljive.
Izvor: www.habr.com