私には、WAN インターフェイスに関連付けられていない IP アドレスで D-Link DFL ルーター上のサービスを公開するというタスクがありました。 しかし、この問題を解決する手順がインターネット上に見つからなかったので、自分で手順を書きました。
初期データ(全アドレスを例にします)
IP を使用した内部ネットワーク上の Web サーバー: 192.168.0.2 (ポート 8080).
プロバイダーによって割り当てられた外部ホワイト アドレスのプール:
アドレスを教えてください 5.255.255.2-10 NAT やその他のニーズに使用します。 プロバイダーリンクがポートに接続されています wan1。 インターフェイスへ wan1 リンクされたアドレス 5.255.255.2.
タスク: 内部 Web サーバーをパブリック アドレスに公開する 5.255.255.11、、、 80.
解決策は簡単です
インターフェイス アドレスに対応しない IP でサービスを公開するには、次のものが必要です。
- を使用して、公開された IP を内部で検索する必要があることをルーターに指示します。
ルーティングテーブル . - 出版物
ARP これにより、ルータは、公開されたアドレスがそのルータに属することを近隣ルータに応答します。 - ファイアウォール ルール (
土曜日 )、ルーター内部で宛先アドレスが最終サーバーのアドレスに変更されます。 - ファイアウォール ルール (許可)。外部インターフェイスからルーター内の公開アドレスへの接続を許可します。
では、それぞれのポイントについてもう少し詳しく説明します
訓練
I. まず、すべてのニーズに対応する「オブジェクト」を作成しましょう (ここでは Web インターフェイスのプロセスを示します。コンソールを使用する人はアクションをコンソール コマンドに転送できると思います)。
1. 4 つの IPvXNUMX アドレスをアドレス帳に追加します。
Webサーバ = 192.168.0.2
パブリックウェブサーバー = 5.255.255.11
2. 次に、サービスのリストにポートを追加します。
int_http = tcp:8080
港 tcp:80 というサービスのリストにすでに存在します。 HTTPには制限があります 2000 セッションの制限は調整できます。
ああ内部ネットワークにサーバーポートを追加する必要がないことが判明しましたが、理由は... パブリックポートには例が必要になる場合がありますが、同じ方法で追加されます。
II。 解決策に直接移りましょう。
アイテム 1 и 2 組み合わせることができるので、 スタティックルートを追加すると、すぐにARPを提供することが可能です。 正直に言うと、私はこの機会にすぐには気付かず、手動でパブリケーションを設定しました。ルーターにはそのような機能もありました。
1. したがって、多数のルーティング テーブルとそのルールをまだ作成していない場合は、メイン ルーティング テーブルですべてを行うことができます。 メイン.
テーブル メインネットワークへのデフォルトのパスが存在します 5.255.255.0/28 インターフェイスごと wan1。 と
ゲートウェイがインターフェイスにパケットを送り返さないようにするには wan1、アドレスへの静的ルートを作成する必要があります パブリックウェブサーバー インターフェイスへ メートル未満の場合 100 (インターフェイス メトリックが小さい wan1) - その後、ゲートウェイは「それ自体の内部」でそれを探します。
2. そこで、ルートを作成するときに、ゲートウェイが ARP 要求に応答するようにプロキシ ARP を設定できます。 [プロキシ ARP] タブで、WAN インターフェイスを追加します。
ルートを作成しますが、「OK」をクリックせずに、XNUMX 番目の「プロキシ ARP」タブに移動します。
ARP、インターフェイスを追加します wan1:
3.最後に、NAT とファイアウォールの設定に進みます (これについては、すでに「
SAT ルールを作成して、インターフェイスからのパケット内で wan1 宛先アドレス付き パブリックウェブサーバー 目的地の港 HTTP、インターフェースのルートを設定しました。 、宛先アドレスをサーバーの内部アドレスに置き換えます。 Webサーバ そしてポートオン 8080.
4. 次のステップは、そのようなパケットを許可することです。同様のパラメータを持つ許可ルールを作成します (SAT ルールをコピーし、アクションを許可に置き換えると便利です)。
メモこの場合、ルールは正確にこの順序である必要があります: 最初に SAT、次に許可です。
SAT ルールは許可ルールより上位にある必要があることに注意してください。 これは、パケットが許可または拒否ルールに該当する場合、「ルール」テーブルをさらに通過しないためです。
この場合、パブリック ポートとアドレスに対して許可ルールも作成されます。
許可ルールのプロトコル、インターフェイス、およびネットワーク パラメータは、「SAT」アクションのルールと同じであることに注意してください。
パケットは XNUMX 行前の SAT ルールによってすでに処理されており、宛先アドレスとポートは新しいように見えましたが、そうではなく、他のすべてのルールが処理された後のいつかの時点で置き換えが行われるようです。
В
出所: habr.com