פרסום שרת דרך שער D-Link DFL

הייתה לי משימה - לפרסם שירות בנתב D-Link DFL בכתובת IP שאינה קשורה לממשק ה-wan. אבל לא הצלחתי למצוא באינטרנט הוראות שיפתרו את הבעיה הזו, אז כתבתי את שלי.

נתונים ראשוניים (כל הכתובות נלקחות כדוגמה)

שרת אינטרנט ברשת פנימית עם IP: 192.168.0.2 (נמל 8080).
מאגר כתובות לבנות חיצוניות שהוקצו על ידי הספק: 5.255.255.0/28, שער ספק: 5.255.255.1, שאר הכתובות "שלנו". 5.255.255.2-14.

תן את הכתובות 5.255.255.2-10 אנו משתמשים בו עבור NAT וצרכים אחרים. קישור הספק מחובר ליציאה wan1. להתממשק wan1 כתובת מקושרת 5.255.255.2.

משימה: פרסום שרת אינטרנט פנימי לכתובת ציבורית 5.255.255.11, בנמל 80.

הפתרון קצר

כדי לפרסם שירות ב-IP שאינו תואם לכתובת הממשק תצטרך:

1. ציין לנתב שיש לחפש את ה-IP שפורסם באופן פנימי באמצעות טבלאות ניתוב.
2. פרסום ARPכך שהנתב יגיב לשכנים שהכתובת שפורסמה שייכת לו.
3. כלל חומת האש (SAT), שבתוך הנתב ישנה את כתובת היעד לכתובת השרת הסופי.
4. כלל חומת האש (Allow), שיאפשר חיבור מהממשק החיצוני לכתובת שפורסמה בתוך הנתב

ועכשיו קצת יותר על כל נקודה

הדרכה

I. ראשית, בואו ניצור "Objects" לכל הצרכים שלנו (עכשיו אראה את התהליך עבור ממשק האינטרנט, אני חושב שמי שעובד עם הקונסולה יוכל להעביר פעולות לפקודות קונסולה).

1. הוסף שתי כתובות ipv4 לפנקס הכתובות:
לשימוש שרת = 192.168.0.2
שרת אינטרנט ציבורי = 5.255.255.11

2. לאחר מכן אנו מוסיפים יציאות לרשימת השירותים:
int_http = tcp:8080

הנמל tcp:80 קיים כבר ברשימת השירותים, הנקרא http, יש הגבלה ב 2000 הפעלות, ניתן להתאים את המגבלה.

הוהתברר שאין צורך להוסיף יציאת שרת ברשת הפנימית, אבל אני משאיר את זה כי... ייתכן שיהיה צורך בדוגמה עבור נמל ציבורי, אך הם מתווספים באותו אופן

השנייה. נעבור ישירות לפתרון.

פריט 1 и 2 ניתן לשלב, כי בעת הוספת מסלול סטטי, ניתן לספק מיד ARP. למען האמת, לא ראיתי מיד את ההזדמנות הזו והגדרתי את הפרסום באופן ידני; גם לנתב יש פונקציונליות כזו.

1. אז, אם עדיין לא יצרתם חבורה של טבלאות ניתוב וכללים עבורם, אז אפשר לעשות הכל בטבלת הניתוב הראשית, זה נקרא ראשי.

בטבלה ראשייהיה נתיב ברירת מחדל לרשת 5.255.255.0/28 לכל ממשק wan1. ו מדדים של מסלול זה תואם את המדד שצוין בהגדרות הממשק (כברירת מחדל 100).

כדי למנוע מהשער לשלוח מנות חזרה לממשק wan1, עליך ליצור נתיב סטטי לכתובת שרת אינטרנט ציבורי לממשק הליבה עם מדד פחות 100 (מדד ממשק קטן יותר wan1) - אז השער יחפש אותו "בתוך עצמו".

2. שם, בעת יצירת מסלול, ניתן להגדיר Proxy ARP כך שהשער יגיב לבקשות ARP. בכרטיסייה Proxy ARP, הוסף ממשק WAN.

צור מסלול, אך אל תלחץ על אישור, אלא עבור ללשונית Proxy ARP השנייה:

ARP, הוסף ממשק wan1:

3. לבסוף, אנו עוברים להגדרת NAT וחומת אש (זה כבר מתואר בפירוט מספק ב- הוראות באתר dlink.ua).

אנו יוצרים כלל SAT כך בחבילה מהממשק wan1 עם כתובת יעד שרת אינטרנט ציבורי נמל היעד http, אליו הגדרנו מסלול עבור הממשק הליבה, החלף את כתובת היעד בכתובת הפנימית של השרת שלנו לשימוש שרת ויציאה על 8080.

4. והשלב הבא הוא לאפשר חבילה כזו - צור כלל Allow עם פרמטרים דומים (נוח להעתיק את כלל SAT ולהחליף את הפעולה ב-Allow).

הערהבמקרה זה, הכללים צריכים להיות בדיוק בסדר הזה: תחילה SAT, ואז אפשר:

זכור שכלל ה-SAT חייב להיות מעל כלל ההיתרים. זה נובע מהעובדה שחבילה, כשהיא נופלת לכלל מתיר או מונע, לא עוברת הלאה דרך טבלת "הכללים".

dlink.ua
במקרה זה, כלל ההיתר נוצר גם עבור הנמל והכתובת הציבוריים:

שים לב שהפרוטוקול, הממשק והפרמטרים של הרשת בכלל המאפשר זהים לכלל עם פעולת "SAT".

נראה לי שהחבילה כבר עובדה על ידי כלל SAT שורה קודם לכן, וכתובת היעד והיציאה היו חדשים, אבל לא, נראה שההחלפה מתרחשת מתישהו אחרי שכל שאר הכללים עברו עיבוד.

В הוראות מ-D-link הפונקציונליות של SAT נחשפת לעומק; היא מציגה אפשרויות מעניינות רבות. המטרה שלי הייתה לכסות נושא שלא כוסה בהוראה זו ובהנחיות אחרות. אני מקווה שההוראות יהיו שימושיות ומובנות.

מקור: www.habr.com