Volt egy feladatom - közzétenni egy szolgáltatást a D-Link DFL útválasztón olyan IP-címen, amely nem kapcsolódik a wan interfészhez. De nem találtam az interneten olyan utasításokat, amelyek megoldanák ezt a problémát, ezért megírtam a sajátomat.
Kezdeti adatok (minden cím példaként szerepel)
Webszerver belső hálózaton IP-vel: 192.168.0.2 (kikötő 8080).
A szolgáltató által kiosztott külső fehér címek készlete: , szolgáltatói átjáró: 5.255.255.1, a fennmaradó „mi” címeket 5.255.255.2-14.
Hadd a címeket 5.255.255.2-10 NAT-ra és egyéb igényekre használjuk. A szolgáltatói hivatkozás a porthoz csatlakozik wan1. A felülethez wan1 cím linkelve 5.255.255.2.
Feladat: tegyen közzé egy belső webszervert nyilvános címen 5.255.255.11, a kikötőben 80.
A megoldás rövid
Egy szolgáltatás közzétételéhez olyan IP-címen, amely nem felel meg az interfész címének, szüksége lesz:
- Jelezze az útválasztónak, hogy a közzétett IP-címen belül kell keresni a használatával .
- kiadvány hogy a router azt válaszolja a szomszédoknak, hogy a közzétett cím hozzá tartozik.
- tűzfal szabály (), amely az útválasztón belül megváltoztatja a célcímet a végső szerver címére.
- Tűzfalszabály (Engedélyezés), amely lehetővé teszi a kapcsolatot a külső interfészről a routeren belül közzétett címre
És most egy kicsit többet az egyes pontokról
Edzés
I. Először is hozzunk létre minden igényünknek megfelelő „Objektumokat” (most a webes felületre mutatom be a folyamatot, szerintem akik a konzollal dolgoznak, azok át tudják vinni a műveleteket a konzolparancsokra).
1. Adjon hozzá két ipv4-címet a címjegyzékhez:
web-server = 192.168.0.2
nyilvános-web-szerver = 5.255.255.11
2. Ezután hozzáadjuk a portokat a szolgáltatások listájához:
int_http = tcp:8080
kikötő tcp:80 már szerepel a szolgáltatások listájában, ún http, korlátozása van 2000 munkamenetek esetén a limit módosítható.
óKiderült, hogy a belső hálózaton nem kell szerverportot hozzáadni, de meghagyom, mert... lehet, hogy egy nyilvános porthoz kell egy példa, de ugyanúgy hozzáadódnak
II. Térjünk át közvetlenül a megoldásra.
pont 1 и 2 kombinálható, mert Statikus útvonal hozzáadásakor lehetőség van azonnali ARP szolgáltatásra. Hogy őszinte legyek, nem láttam azonnal ezt a lehetőséget, és kézzel állítottam be a kiadványt, a routernek is van ilyen funkciója.
1. Tehát, ha még nem hozott létre egy csomó útválasztó táblát és ezekhez tartozó szabályokat, akkor mindent meg lehet tenni a fő útválasztó táblában, az ún. fő-.
asztal fő-lesz egy alapértelmezett elérési út a hálózathoz 5.255.255.0/28 interfészenként wan1. és ennek az útvonalnak a mutatója megegyezik az interfész beállításaiban megadott mérőszámmal (alapértelmezés szerint 100).
Annak megakadályozására, hogy az átjáró csomagokat küldjön vissza az interfészre wan1, létre kell hoznia egy statikus útvonalat a címhez nyilvános-web-szerver a felületre mag mérőszámmal kevesebb 100 (kisebb interfész mérőszám wan1) - akkor az átjáró „önmagában” keresi.
2. Ott az útvonal létrehozásakor beállíthatja a Proxy ARP-t úgy, hogy az átjáró válaszoljon az ARP kérésekre. A Proxy ARP lapon adjon hozzá egy WAN interfészt.
hozzon létre egy útvonalat, de ne kattintson az OK gombra, hanem lépjen a második Proxy ARP lapra:
ARP, adj hozzá interfészt wan1:
3.Végül áttérünk a NAT és a tűzfal beállítására (ezt már kellően részletesen leírjuk ).
Létrehozunk egy SAT-szabályt úgy, hogy a csomagban a felületről wan1 rendeltetési címmel nyilvános-web-szerver uticél kikötője http, amelyhez konfiguráltunk egy útvonalat az interfész számára mag, cserélje ki a célcímet szerverünk belső címére web-server és port tovább 8080.
4. A következő lépés egy ilyen csomag engedélyezése - hozzon létre egy Engedélyezési szabályt hasonló paraméterekkel (kényelmes a SAT-szabály másolása, és a műveletet az Engedélyezéssel helyettesíteni).
jegyzetEbben az esetben a szabályoknak pontosan ebben a sorrendben kell lenniük: először SAT, majd Engedélyezés:
Ne feledje, hogy a SAT szabálynak az engedélyezési szabály felett kell lennie. Ez annak a ténynek köszönhető, hogy egy csomag, amikor egy engedélyező vagy megtagadó szabályba esik, nem megy tovább a „Szabályok” táblán.
Ebben az esetben az engedélyezési szabály a nyilvános portra és címre is létrejön:
Kérjük, vegye figyelembe, hogy az engedélyezési szabályban szereplő protokoll, interfész és hálózati paraméterek megegyeznek a „SAT” művelet szabályában szereplővel.
Nekem úgy tűnt, hogy a csomagot egy sorral korábban már feldolgozta a SAT szabály, és a célcím és a port új volt, de nem, úgy tűnik, a csere valamikor az összes többi szabály feldolgozása után történik.
В A SAT funkcionalitása mélyen feltárt, sok érdekes lehetőséget rejt magában. Célom az volt, hogy egy olyan problémát lefedjek, amely nem szerepel ebben az utasításban és más utasításokban. Remélem, az utasítások hasznosak és érthetőek lesznek.
Forrás: will.com