Ég fékk verkefni - að birta þjónustu á D-Link DFL beininum á IP tölu sem er ekki bundið við wan tengi. En ég gat ekki fundið leiðbeiningar á netinu sem myndu leysa þetta vandamál, svo ég skrifaði mína eigin.
Upphafleg gögn (öll heimilisföng eru tekin sem dæmi)
Vefþjónn á innra neti með IP: 192.168.0.2 (höfn 8080).
Laug af ytri hvítum heimilisföngum sem veitandinn úthlutar: , þjónustugátt: 5.255.255.1, heimilisföngin sem eftir eru „okkar“ 5.255.255.2-14.
Leyfðu heimilisföngunum 5.255.255.2-10 við notum það fyrir NAT og aðrar þarfir. Tengill þjónustuveitunnar er tengdur við höfnina van1. Til að tengjast van1 heimilisfang tengt 5.255.255.2.
Verkefni: birta innri vefþjón á almennu heimilisfangi 5.255.255.11, við höfnina 80.
Lausnin er stutt
Til að birta þjónustu á IP sem samsvarar ekki viðmótsfanginu þarftu:
- Gefðu til kynna fyrir leiðinni að leitað ætti að birta IP-tölunni innbyrðis með því að nota .
- Útgáfa þannig að routerinn svarar nágrönnum að birt heimilisfang tilheyri honum.
- eldveggsregla (), sem inni í beininum mun breyta áfangastaðsfanginu í heimilisfang lokaþjónsins.
- Eldveggsregla (Leyfa), sem leyfir tengingu frá ytra viðmóti við birt heimilisfang inni í beininum
Og nú aðeins meira um hvert atriði
Þjálfun
I. Fyrst skulum við búa til "Objects" fyrir allar þarfir okkar (nú mun ég sýna ferlið fyrir vefviðmótið, ég held að þeir sem vinna með stjórnborðið geti flutt aðgerðir yfir á stjórnborðsskipanir).
1. Bættu tveimur ipv4 vistföngum við heimilisfangaskrána:
vefþjónn = 192.168.0.2
opinber-vefþjónn = 5.255.255.11
2. Síðan bætum við höfnum við þjónustulistann:
int_http = tcp:8080
Höfnin tcp:80 er þegar til staðar á listanum yfir þjónustu, sem heitir HTTP, hefur takmörkun í 2000 lotur, er hægt að stilla mörkin.
óÞað kom í ljós að það er engin þörf á að bæta við server porti á innra netið, en ég læt það vera vegna þess að... gæti þurft dæmi um almenna höfn, en þeim er bætt við á sama hátt
II. Förum beint að lausninni.
Málsgrein 1 и 2 hægt að sameina, því Þegar kyrrstæð leið er bætt við er hægt að veita ARP strax. Til að vera heiðarlegur sá ég þetta tækifæri ekki strax og setti útgáfuna upp handvirkt hefur beininn líka slíka virkni.
1. Svo ef þú hefur ekki búið til fullt af leiðartöflum og reglum fyrir þær, þá er allt hægt að gera í aðalleiðartöflunni, það heitir helstu.
Tafla helstuþað verður sjálfgefin slóð að netinu 5.255.255.0/28 fyrir hvert viðmót van1. Og þessarar leiðar samsvarar mæligildinu sem tilgreint er í viðmótsstillingunum (sjálfgefið 100).
Til að koma í veg fyrir að gáttin sendi pakka aftur í viðmótið van1, þú þarft að búa til kyrrstæða leið á heimilisfangið opinber-vefþjónn að viðmótinu algerlega með mæligildi minna 100 (minni viðmótsmæling van1) - þá mun hliðið leita að því „inni í sjálfu sér“.
2. Þar, þegar þú býrð til leið, geturðu stillt Proxy ARP þannig að gáttin svari ARP beiðnum. Á Proxy ARP flipanum skaltu bæta við WAN viðmóti.
búðu til leið, en smelltu ekki á OK, heldur farðu á annan Proxy ARP flipann:
ARP, bættu við viðmóti van1:
3. Að lokum förum við yfir í að setja upp NAT og eldvegg (þessu er þegar lýst nægilega ítarlega í ).
Við búum til SAT reglu þannig að í pakkanum frá viðmótinu van1 með heimilisfangi áfangastaðar opinber-vefþjónn ákvörðunarhöfn HTTP, sem við höfum stillt leið fyrir viðmótið algerlega, skipta um heimilisfang áfangastaðar fyrir innra heimilisfang netþjónsins okkar vefþjónn og höfn á 8080.
4. Og næsta skref er að leyfa slíkan pakka - búðu til Allow reglu með svipuðum breytum (það er þægilegt að afrita SAT regluna og skipta út aðgerðinni fyrir Allow).
athÍ þessu tilviki ættu reglurnar að vera í nákvæmlega þessari röð: fyrst SAT, síðan Leyfa:
Mundu að SAT reglan verður að vera yfir leyfisreglunni. Þetta er vegna þess að pakki, þegar hann fellur undir leyfis- eða afneitunreglu, fer ekki lengra í gegnum „Reglur“ töfluna.
Í þessu tilviki er leyfisreglan einnig búin til fyrir opinberu höfnina og heimilisfangið:
Vinsamlegast athugaðu að samskiptareglur, viðmót og netfæribreytur í leyfisreglunni eru þær sömu og í reglunni með „SAT“ aðgerðinni.
Mér virtist sem pakkinn hefði þegar verið unninn af SAT reglunni línu fyrr, og áfangastaðurinn og gáttin voru ný, en nei, það virðist sem skiptingin eigi sér stað einhvern tíma eftir að allar aðrar reglur hafa verið unnar.
В Virkni SAT kemur djúpt í ljós; Markmið mitt var að fjalla um málefni sem ekki var fjallað um í þessari leiðbeiningum og öðrum leiðbeiningum. Ég vona að leiðbeiningarnar verði gagnlegar og skiljanlegar.
Heimild: www.habr.com