Saya mempunyai tugas - untuk mempublikasikan layanan pada router D-Link DFL pada alamat IP yang tidak terikat dengan antarmuka wan. Tetapi saya tidak dapat menemukan petunjuk di Internet yang dapat mengatasi masalah ini, jadi saya menulis sendiri.
Data awal (semua alamat diambil sebagai contoh)
Server web di jaringan internal dengan IP: 192.168.0.2 (pelabuhan 8080).
Kumpulan alamat putih eksternal yang dialokasikan oleh penyedia: , gerbang penyedia: 5.255.255.1, sisa alamat βkamiβ. 5.255.255.2-14.
Biarkan alamatnya 5.255.255.2-10 kami menggunakannya untuk NAT dan kebutuhan lainnya. Tautan penyedia terhubung ke port wan1. Untuk antarmuka wan1 alamat tertaut 5.255.255.2.
Tugas: mempublikasikan server web internal ke alamat publik 5.255.255.11, dan lagi 80.
Solusinya singkat
Untuk mempublikasikan layanan pada IP yang tidak sesuai dengan alamat antarmuka, Anda memerlukan:
- Tunjukkan pada router bahwa ip yang dipublikasikan harus dicari secara internal .
- Publikasi sehingga router merespons tetangganya bahwa alamat yang dipublikasikan adalah miliknya.
- aturan firewall (), yang di dalam router akan mengubah alamat tujuan menjadi alamat server akhir.
- Aturan firewall (Izinkan), yang memungkinkan koneksi dari antarmuka eksternal ke alamat yang dipublikasikan di dalam router
Dan sekarang sedikit lebih banyak tentang setiap poin
Latihan
I. Pertama, mari kita buat "Objek" untuk semua kebutuhan kita (sekarang saya akan menunjukkan proses untuk antarmuka web, menurut saya mereka yang bekerja dengan konsol akan dapat mentransfer tindakan ke perintah konsol).
1. Tambahkan dua alamat ipv4 ke buku alamat:
web-server = 192.168.0.2
server web publik = 5.255.255.11
2. Lalu kami menambahkan port ke daftar layanan:
int_http = tcp:8080
Pelabuhan tcp:80 sudah ada dalam daftar layanan, disebut http, memiliki batasan dalam 2000 sesi, batasnya dapat disesuaikan.
ohTernyata tidak perlu menambahkan port server di jaringan internal, tapi saya biarkan karena... sebuah contoh mungkin diperlukan untuk port umum, tetapi ditambahkan dengan cara yang sama
II. Mari kita langsung ke solusinya.
Barang 1 ΠΈ 2 dapat digabungkan, karena Saat menambahkan rute statis, ARP dapat segera disediakan. Sejujurnya, saya tidak langsung melihat peluang ini dan mengatur publikasi secara manual; router juga memiliki fungsi seperti itu.
1. Jadi, jika Anda belum membuat sekumpulan tabel routing dan aturannya, maka semuanya bisa dilakukan di tabel routing utama, itu disebut utama.
Meja utamaakan ada jalur default ke jaringan 5.255.255.0/28 per antarmuka wan1. Dan rute ini cocok dengan metrik yang ditentukan dalam pengaturan antarmuka (secara default 100).
Untuk mencegah gateway mengirim paket kembali ke antarmuka wan1, Anda perlu membuat rute statis ke alamat tersebut server web publik ke antarmuka inti dengan metrik lebih sedikit 100 (metrik antarmuka yang lebih kecil wan1) - maka gateway akan mencarinya "di dalam dirinya sendiri".
2. Di sana, saat membuat rute, Anda dapat mengonfigurasi Proxy ARP sehingga gateway merespons permintaan ARP. Pada tab Proxy ARP, tambahkan antarmuka WAN.
buat rute, tapi jangan klik OK, tapi buka tab Proxy ARP kedua:
ARP, tambahkan antarmuka wan1:
3. Terakhir, kita beralih ke pengaturan NAT dan firewall (ini sudah dijelaskan secara cukup rinci di ).
Kami membuat aturan SAT sehingga paket dari antarmuka wan1 dengan alamat tujuan server web publik pelabuhan tujuan http, yang telah kami konfigurasikan rute untuk antarmukanya inti, ganti alamat tujuan dengan alamat internal server kami web-server dan nyalakan 8080.
4. Dan langkah selanjutnya adalah mengizinkan paket seperti itu - membuat aturan Izinkan dengan parameter serupa (akan lebih mudah untuk menyalin aturan SAT dan mengganti tindakan dengan Izinkan).
catatanDalam hal ini, aturannya harus persis seperti ini: SAT pertama, lalu Izinkan:
Ingatlah bahwa aturan SAT harus berada di atas aturan izinkan. Hal ini disebabkan oleh fakta bahwa sebuah paket, ketika masuk ke dalam aturan mengizinkan atau menolak, tidak melangkah lebih jauh melalui tabel βAturanβ.
Dalam hal ini, aturan izinkan juga dibuat untuk port dan alamat publik:
Harap dicatat bahwa protokol, antarmuka dan parameter jaringan dalam aturan yang mengizinkan sama dengan aturan dengan tindakan βSATβ.
Tampak bagi saya bahwa paket tersebut telah diproses oleh aturan SAT satu baris sebelumnya, dan alamat tujuan serta portnya baru, tetapi tidak, tampaknya penggantian terjadi beberapa saat setelah semua aturan lainnya diproses.
Π Fungsionalitas SAT terungkap secara mendalam; ia menghadirkan banyak kemungkinan menarik. Tujuan saya adalah untuk membahas masalah yang tidak tercakup dalam instruksi ini dan instruksi lainnya. Saya harap instruksinya bermanfaat dan dapat dimengerti.
Sumber: www.habr.com