Ես խնդիր ունեի՝ հրապարակել ծառայություն D-Link DFL երթուղիչի վրա IP հասցեով, որը կապված չէ wan ինտերֆեյսի հետ: Բայց ես չկարողացա ինտերնետում գտնել հրահանգներ, որոնք կլուծեին այս խնդիրը, ուստի ես գրեցի իմը:
Սկզբնական տվյալներ (բոլոր հասցեները վերցված են որպես օրինակ)
Վեբ սերվեր ներքին ցանցում IP-ով. 192.168.0.2 (նավահանգիստ 8080).
Մատակարարի կողմից հատկացված արտաքին սպիտակ հասցեների հավաքածու. , մատակարարի դարպաս՝ 5.255.255.1, մնացած «մեր» հասցեները 5.255.255.2-14.
Թող հասցեները 5.255.255.2-10 մենք այն օգտագործում ենք NAT-ի և այլ կարիքների համար: Պրովայդերի հղումը միացված է նավահանգստին նրանց 1. Ինտերֆեյսի համար նրանց 1 հասցեն կապված է 5.255.255.2.
Առաջադրանք՝ հրապարակել ներքին վեբ սերվերը հանրային հասցեով 5.255.255.11, նավահանգստում 80.
Լուծումը հակիրճ է
IP-ի վրա ծառայություն հրապարակելու համար, որը չի համապատասխանում ինտերֆեյսի հասցեին, ձեզ հարկավոր է.
- Նշեք երթուղիչին, որ հրապարակված ip-ն պետք է որոնվի ներսում՝ օգտագործելով .
- Հրապարակումը որպեսզի երթուղիչը պատասխանի հարեւաններին, որ հրապարակված հասցեն իրեն է պատկանում:
- firewall կանոն (), որը երթուղիչի ներսում կփոխի նշանակման հասցեն վերջնական սերվերի հասցեին:
- Firewall կանոնը (Թույլատրել), որը թույլ կտա արտաքին ինտերֆեյսից միանալ երթուղիչի ներսում հրապարակված հասցեին
Եվ հիմա մի փոքր ավելին յուրաքանչյուր կետի մասին
Ուսուցում
I. Նախ, եկեք ստեղծենք «Օբյեկտներ» մեր բոլոր կարիքների համար (այժմ ես ցույց կտամ վեբ ինտերֆեյսի գործընթացը, կարծում եմ, նրանք, ովքեր աշխատում են վահանակի հետ, կկարողանան գործողությունները փոխանցել կոնսոլի հրամաններին):
1. Հասցեների գրքում ավելացրեք երկու ipv4 հասցե.
վեբ-սերվեր = 192.168.0.2
հանրային-վեբ-սերվեր = 5.255.255.11
2. Այնուհետև մենք պորտեր ենք ավելացնում ծառայությունների ցանկին.
int_http = tcp: 8080
Պորտը tcp: 80 արդեն առկա է ծառայությունների ցանկում, կոչված HTTP, ունի սահմանափակում 2000 նիստեր, սահմանաչափը կարող է ճշգրտվել:
ойՊարզվեց, որ ներքին ցանցում սերվերի պորտ ավելացնելու կարիք չկա, բայց թողնում եմ, քանի որ... Օրինակ կարող է անհրաժեշտ լինել հանրային նավահանգստի համար, բայց դրանք ավելացվում են նույն ձևով
II. Անցնենք անմիջապես լուծմանը։
Պարբերություն 1 и 2 կարելի է համատեղել, քանի որ Ստատիկ երթուղի ավելացնելիս հնարավոր է անմիջապես տրամադրել ARP: Անկեղծ ասած, ես անմիջապես չտեսա այս հնարավորությունը և ձեռքով կարգավորեցի հրապարակումը, երթուղիչը նույնպես ունի նման գործառույթ:
1. Այսպիսով, եթե դուք դեռ չեք ստեղծել մի փունջ երթուղային աղյուսակներ և դրանց համար կանոններ, ապա ամեն ինչ կարելի է անել հիմնական երթուղային աղյուսակում, այն կոչվում է. հիմնական.
Աղյուսակ հիմնականկլինի լռելյայն ճանապարհ դեպի ցանց 5.255.255.0/28 մեկ ինտերֆեյսի համար նրանց 1. Եվ այս երթուղին համընկնում է ինտերֆեյսի կարգավորումներում նշված չափումների հետ (լռելյայն 100).
Որպեսզի դարպասը չուղարկի փաթեթները միջերես նրանց 1, դուք պետք է ստատիկ երթուղի ստեղծեք դեպի հասցե հանրային-վեբ-սերվեր ինտերֆեյսին հիմնական մետրային պակասով 100 (ավելի փոքր ինտերֆեյսի չափիչ նրանց 1) - այնուհետև դարպասը այն կփնտրի «իր ներսում»:
2. Այնտեղ, երբ ստեղծում եք երթուղի, կարող եք կարգավորել Proxy ARP-ն այնպես, որ gateway-ն արձագանքի ARP հարցումներին։ Proxy ARP ներդիրում ավելացրեք WAN ինտերֆեյս:
ստեղծեք երթուղի, բայց մի սեղմեք OK, այլ անցեք երկրորդ Proxy ARP ներդիր.
ARP, ավելացրեք ինտերֆեյս նրանց 1:
3. Վերջապես, մենք անցնում ենք NAT-ի և firewall-ի տեղադրմանը (սա արդեն բավական մանրամասն նկարագրված է. ).
Մենք ստեղծում ենք SAT կանոն, որպեսզի փաթեթում ինտերֆեյսից նրանց 1 նպատակակետի հասցեով հանրային-վեբ-սերվեր նշանակման նավահանգիստ HTTP, որի համար մենք կարգավորել ենք երթուղի միջերեսի համար հիմնական, նշանակման հասցեն փոխարինեք մեր սերվերի ներքին հասցեով վեբ-սերվեր և միացվի պորտը 8080.
4. Եվ հաջորդ քայլը նման փաթեթ թույլ տալն է՝ ստեղծել «Թույլատրել» կանոն նմանատիպ պարամետրերով (հարմար է պատճենել SAT կանոնը և գործողությունը փոխարինել «Թույլատրել»-ով):
նոտաԱյս դեպքում կանոնները պետք է լինեն հենց այս հերթականությամբ՝ նախ SAT, ապա Թույլատրել.
Հիշեք, որ SAT կանոնը պետք է լինի թույլատրելի կանոնից վեր: Դա պայմանավորված է այն հանգամանքով, որ փաթեթը, երբ այն ընկնում է թույլատրելու կամ մերժող կանոնի մեջ, չի անցնում «Կանոններ» աղյուսակը:
Այս դեպքում թույլատրելի կանոնը ստեղծվում է նաև հանրային նավահանգստի և հասցեի համար.
Խնդրում ենք նկատի ունենալ, որ թույլատրելի կանոնում արձանագրության, ինտերֆեյսի և ցանցի պարամետրերը նույնն են, ինչ «SAT» գործողության կանոնում:
Ինձ թվում էր, որ փաթեթն արդեն մշակվել է SAT կանոնով մի տող ավելի վաղ, և նպատակակետի հասցեն և նավահանգիստը նոր էին, բայց ոչ, թվում է, որ փոխարինումը տեղի է ունենում բոլոր մյուս կանոնների մշակումից հետո:
В SAT-ի ֆունկցիոնալությունը խորապես բացահայտված է, այն ներկայացնում է բազմաթիվ հետաքրքիր հնարավորություններ: Իմ նպատակն էր լուսաբանել մի խնդիր, որը չէր լուսաբանվում այս հրահանգում և այլ հրահանգներում: Հուսով եմ, որ հրահանգները օգտակար և հասկանալի կլինեն:
Source: www.habr.com