Avevo un compito: pubblicare un servizio sul router D-Link DFL su un indirizzo IP non legato all'interfaccia wan. Ma non sono riuscito a trovare istruzioni su Internet che risolvessero questo problema, quindi ho scritto il mio.
Dati iniziali (tutti gli indirizzi sono presi come esempio)
Web server su rete interna con IP: 192.168.0.2 (porta 8080).
Pool di indirizzi bianchi esterni assegnati dal provider: , gateway del fornitore: 5.255.255.1, i restanti “nostri” indirizzi 5.255.255.2-14.
Lasciamo gli indirizzi 5.255.255.2-10 lo usiamo per NAT e altre esigenze. Il collegamento del provider è connesso alla porta wan1. Per interfacciarsi wan1 indirizzo collegato 5.255.255.2.
Compito: pubblicare un server web interno su un indirizzo pubblico 5.255.255.11, al porto 80.
La soluzione è breve
Per pubblicare un servizio su un IP che non corrisponde all'indirizzo dell'interfaccia avrai bisogno di:
- Indicare al router che l'ip pubblicato dovrà essere cercato internamente utilizzando .
- Pubblicazione in modo che il router risponda ai vicini che l'indirizzo pubblicato gli appartiene.
- regola del firewall (), che all'interno del router cambierà l'indirizzo di destinazione con l'indirizzo del server finale.
- Regola del firewall (Consenti), che consentirà una connessione dall'interfaccia esterna all'indirizzo pubblicato all'interno del router
E ora qualcosa in più su ogni punto
Formazione
I. Per prima cosa creiamo “Oggetti” per tutte le nostre esigenze (ora mostrerò il procedimento per l'interfaccia web, penso che chi lavora con la console potrà trasferire le azioni sui comandi della console).
1. Aggiungi due indirizzi IPv4 alla rubrica:
web-server = 192.168.0.2
server web pubblico = 5.255.255.11
2. Quindi aggiungiamo le porte all'elenco dei servizi:
int_http = TCP:8080
Porto TCP:80 è già presente nell'elenco dei servizi, denominato http, ha una limitazione in 2000 sessioni, il limite può essere modificato.
ohSi è scoperto che non è necessario aggiungere una porta server sulla rete interna, ma lo lascio perché... potrebbe essere necessario un esempio per una porta pubblica, ma vengono aggiunti allo stesso modo
II. Passiamo direttamente alla soluzione.
Voce 1 и 2 possono essere combinati, perché Quando si aggiunge un percorso statico, è possibile fornire immediatamente l'ARP. Ad essere sincero, non ho visto subito questa opportunità e ho impostato la pubblicazione manualmente anche il router ha tale funzionalità;
1. Quindi, se non hai ancora creato una serie di tabelle di routing e regole per esse, allora tutto può essere fatto nella tabella di routing principale, si chiama principale.
Tavolo principaleci sarà un percorso predefinito per la rete 5.255.255.0/28 per interfaccia wan1. e di questo percorso corrisponde alla metrica specificata nelle impostazioni dell'interfaccia (per impostazione predefinita 100).
Per impedire al gateway di inviare nuovamente pacchetti all'interfaccia wan1, è necessario creare un percorso statico verso l'indirizzo server web pubblico all'interfaccia core con metrica in meno 100 (metrica di interfaccia più piccola wan1) - allora il gateway lo cercherà “dentro se stesso”.
2. Lì, quando si crea un percorso, è possibile configurare Proxy ARP in modo che il gateway risponda alle richieste ARP. Nella scheda Proxy ARP, aggiungi un'interfaccia WAN.
crea una rotta, ma non fare clic su OK, ma vai alla seconda scheda Proxy ARP:
ARP, aggiungi un'interfaccia wan1:
3.Infine passiamo alla configurazione del NAT e del firewall (questo è già descritto in modo sufficientemente dettagliato in ).
Creiamo una regola SAT in modo che nel pacchetto dall'interfaccia wan1 con indirizzo di destinazione server web pubblico porto di arrivo http, verso il quale abbiamo configurato un percorso per l'interfaccia core, sostituisci l'indirizzo di destinazione con l'indirizzo interno del nostro server web-server e porta avanti 8080.
4. E il passaggio successivo è consentire un pacchetto di questo tipo: creare una regola Consenti con parametri simili (è conveniente copiare la regola SAT e sostituire l'azione con Consenti).
osservazioneIn questo caso, le regole dovrebbero essere esattamente in questo ordine: prima SAT, poi Consenti:
Ricorda che la regola SAT deve essere superiore alla regola di autorizzazione. Ciò è dovuto al fatto che un pacchetto, quando rientra in una regola di autorizzazione o di rifiuto, non prosegue oltre la tabella “Regole”.
In questo caso viene creata la regola di autorizzazione anche per la porta e l'indirizzo pubblico:
Si noti che il protocollo, l'interfaccia e i parametri di rete nella regola di autorizzazione sono gli stessi della regola con l'azione "SAT".
Mi è sembrato che il pacchetto fosse già stato elaborato dalla regola SAT una riga prima e che l'indirizzo e la porta di destinazione fossero nuovi, ma no, sembra che la sostituzione avvenga qualche tempo dopo che tutte le altre regole sono state elaborate.
В La funzionalità di SAT è profondamente rivelata; presenta molte possibilità interessanti. Il mio obiettivo era trattare un problema che non era trattato in queste istruzioni e in altre istruzioni. Spero che le istruzioni siano utili e comprensibili.
Fonte: habr.com