Servera publicēšana, izmantojot D-Link DFL vārteju

Man bija uzdevums - publicēt pakalpojumu D-Link DFL maršrutētājā uz IP adresi, kas nav saistīta ar wan interfeisu. Bet es nevarēju atrast internetā norādījumus, kas atrisinātu šo problēmu, tāpēc es uzrakstīju savu.

Sākotnējie dati (visas adreses tiek ņemtas kā piemērs)

Tīmekļa serveris iekšējā tīklā ar IP: 192.168.0.2 (osta 8080).
Pakalpojumu sniedzēja piešķirto ārējo balto adrešu kopums: 5.255.255.0/28, pakalpojumu sniedzēja vārteja: 5.255.255.1, pārējās “mūsu” adreses 5.255.255.2-14.

Ļaujiet adresēm 5.255.255.2-10 mēs to izmantojam NAT un citām vajadzībām. Pakalpojumu sniedzēja saite ir savienota ar portu wan1. Uz saskarni wan1 adrese ir saistīta 5.255.255.2.

Uzdevums: publicēt iekšējo tīmekļa serveri publiskā adresē 5.255.255.11, ostā 80.

Risinājums ir īss

Lai publicētu pakalpojumu IP, kas neatbilst interfeisa adresei, jums būs nepieciešams:

1. Norādiet maršrutētājam, ka publicētā IP ir jāmeklē iekšēji, izmantojot maršrutēšanas tabulas.
2. Publikācija ARPlai maršrutētājs atbildētu kaimiņiem, ka publicētā adrese tam pieder.
3. ugunsmūra noteikums (SAT), kas maršrutētājā mainīs galamērķa adresi uz gala servera adresi.
4. Ugunsmūra noteikums (Atļaut), kas ļaus izveidot savienojumu no ārējā interfeisa ar publicēto adresi maršrutētājā

Un tagad nedaudz vairāk par katru punktu

Treniņš

I. Pirmkārt, izveidosim "Objektus" visām mūsu vajadzībām (tagad es parādīšu tīmekļa saskarnes procesu, es domāju, ka tie, kas strādā ar konsoli, varēs pārsūtīt darbības uz konsoles komandām).

1. Pievienojiet adrešu grāmatai divas ipv4 adreses:
web-serveris = 192.168.0.2
publiskais tīmekļa serveris = 5.255.255.11

2. Pēc tam pakalpojumu sarakstam pievienojam portus:
int_http = tcp:8080

Osta tcp:80 jau atrodas pakalpojumu sarakstā, saukts http, ir ierobežojums 2000 sesijas, limitu var pielāgot.

ohIzrādījās, ka nav nepieciešams pievienot servera portu iekšējā tīklā, bet es to atstāju, jo... piemērs var būt vajadzīgs publiskai ostai, bet tie tiek pievienoti tāpat

II. Pāriesim tieši pie risinājuma.

Paragrāfs 1 и 2 var kombinēt, jo Pievienojot statisku maršrutu, iespējams uzreiz nodrošināt ARP. Godīgi sakot, es uzreiz neredzēju šo iespēju un iestatīju publikāciju manuāli, un maršrutētājam ir arī šāda funkcionalitāte.

1. Tātad, ja vēl neesat izveidojis virkni maršrutēšanas tabulu un tām paredzētos noteikumus, tad visu var izdarīt galvenajā maršrutēšanas tabulā, tā saucas galvenais.

Tabula galvenaisbūs noklusējuma ceļš uz tīklu 5.255.255.0/28 katram interfeisam wan1. Un metriku šī maršruta rādītājs atbilst saskarnes iestatījumos norādītajai metrikai (pēc noklusējuma 100).

Lai neļautu vārtejai sūtīt paketes atpakaļ uz saskarni wan1, jums ir jāizveido statisks maršruts uz adresi publiskais tīmekļa serveris uz saskarni kodols ar metriku mazāk 100 (mazāka saskarnes metrika wan1) - tad vārteja to meklēs “sevī”.

2. Tur, veidojot maršrutu, var konfigurēt Proxy ARP tā, lai vārteja atbildētu uz ARP pieprasījumiem. Cilnē Proxy ARP pievienojiet WAN interfeisu.

izveidojiet maršrutu, bet neklikšķiniet uz Labi, bet dodieties uz otro starpniekservera ARP cilni:

ARP, pievienojiet interfeisu wan1:

3. Visbeidzot, mēs pārejam pie NAT un ugunsmūra iestatīšanas (tas jau ir pietiekami detalizēti aprakstīts instrukcijas vietnē dlink.ua).

Mēs izveidojam SAT noteikumu, lai paketē no saskarnes wan1 ar galamērķa adresi publiskais tīmekļa serveris galamērķa osta http, kurai esam konfigurējuši saskarnes maršrutu kodols, aizstājiet galamērķa adresi ar mūsu servera iekšējo adresi web-serveris un ieslēdziet 8080.

4. Un nākamais solis ir atļaut šādu paketi - izveidojiet Atļaut kārtulu ar līdzīgiem parametriem (ir ērti kopēt SAT kārtulu un aizstāt darbību ar Atļaut).

piezīmeŠajā gadījumā noteikumiem jābūt tieši šādā secībā: vispirms SAT, pēc tam Atļaut:

Atcerieties, ka SAT kārtulai jābūt virs atļaušanas kārtulas. Tas ir saistīts ar faktu, ka pakete, nonākot atļaušanas vai noraidīšanas noteikumā, netiek tālāk cauri tabulai “Noteikumi”.

dlink.ua
Šajā gadījumā atļaujas kārtula tiek izveidota arī publiskajai ostai un adresei:

Lūdzu, ņemiet vērā, ka protokols, interfeiss un tīkla parametri atļaujas kārtulā ir tādi paši kā noteikumā ar darbību “SAT”.

Man šķita, ka SAT kārtula paketi jau bija apstrādāta vienu rindiņu agrāk, un galamērķa adrese un ports bija jauni, bet nē, šķiet, ka aizstāšana notiek kaut kad pēc visu citu noteikumu apstrādes.

В instrukcijas no D-link SAT funkcionalitāte ir dziļi atklāta, tā piedāvā daudzas interesantas iespējas. Mans mērķis bija aptvert jautājumu, kas nebija aplūkots šajā instrukcijā un citās instrukcijās. Es ceru, ka norādījumi būs noderīgi un saprotami.

Avots: www.habr.com