Имав задача - да објавам услуга на рутерот D-Link DFL на IP адреса што не е врзана за интерфејсот wan. Но, не можев да најдам упатства на Интернет што ќе го решат овој проблем, па напишав мое.
Почетни податоци (сите адреси се земени како пример)
Веб сервер на внатрешна мрежа со IP: 192.168.0.2 (пристаниште 8080).
Збир на надворешни бели адреси доделени од давателот: , портал на провајдер: 5.255.255.1, останатите „наши“ адреси 5.255.255.2-14.
Дозволете ги адресите 5.255.255.2-10 го користиме за NAT и други потреби. Врската на провајдерот е поврзана со пристаништето wan1. За интерфејс wan1 адресата е поврзана 5.255.255.2.
Задача: објави внатрешен веб-сервер на јавна адреса 5.255.255.11, на пристаништето 80.
Решението е кратко
За да објавите услуга на IP што не одговара на адресата на интерфејсот, ќе ви треба:
- Наведете му на рутерот дека објавената IP адреса треба да се пребарува внатрешно користејќи .
- Објавување така што рутерот им одговара на соседите дека објавената адреса му припаѓа.
- правило за заштитен ѕид (), кој внатре во рутерот ќе ја смени дестинационата адреса на адресата на конечниот сервер.
- Правило за заштитен ѕид (Дозволи), кое ќе овозможи поврзување од надворешниот интерфејс до објавената адреса во рутерот
И сега малку повеќе за секоја точка
Обука
I. Прво, ајде да создадеме „Објекти“ за сите наши потреби (сега ќе го покажам процесот за веб-интерфејсот, мислам дека оние што работат со конзолата ќе можат да префрлаат дејства на командите на конзолата).
1. Додадете две ipv4 адреси во адресарот:
веб-сервер = 192.168.0.2
јавен-веб-сервер = 5.255.255.11
2. Потоа додаваме порти на листата на услуги:
int_http = tcp: 8080
Пристаништето tcp: 80 е веќе присутен во списокот на услуги, наречен http, има ограничување во 2000 сесии, лимитот може да се прилагоди.
охСе испостави дека нема потреба да се додава порта за сервер на внатрешната мрежа, но го оставам затоа што ... може да биде потребен пример за јавно пристаниште, но тие се додаваат на ист начин
II. Да преминеме директно на решението.
точка 1 и 2 може да се комбинираат, бидејќи Кога додавате статична рута, можно е веднаш да се обезбеди ARP. Да бидам искрен, не ја видов веднаш оваа можност и ја поставив публикацијата рачно, рутерот исто така има таква функционалност.
1. Значи, ако сè уште не сте создале куп табели за насочување и правила за нив, тогаш сè може да се направи во главната рутирачка табела, таа се вика Главната.
Табела Главнатаќе има стандардна патека до мрежата 5.255.255.0/28 на интерфејс wan1. И на оваа рута се совпаѓа со метриката наведена во поставките за интерфејс (стандардно 100).
За да се спречи портата да испраќа пакети назад до интерфејсот wan1, треба да креирате статична рута до адресата јавен-веб-сервер до интерфејсот основни со метрички помалку 100 (помал интерфејс метрика wan1) - тогаш портата ќе го бара „внатре во себе“.
2. Таму, кога креирате рута, можете да го конфигурирате Proxy ARP така што портата да одговара на барањата на ARP. На картичката Proxy ARP, додадете WAN интерфејс.
креирајте рута, но не кликнете OK, туку одете на вториот таб Proxy ARP:
ARP, додадете интерфејс wan1:
3. Конечно, продолжуваме кон поставување на NAT и заштитен ѕид (ова е веќе доволно детално опишано во ).
Ние создаваме SAT правило така што во пакетот од интерфејсот wan1 со дестинација адреса јавен-веб-сервер дестинација пристаниште http, до кој конфигуриравме рута за интерфејсот основни, заменете ја одредишната адреса со внатрешната адреса на нашиот сервер веб-сервер и приклучете 8080.
4. И следниот чекор е да дозволите таков пакет - креирајте правило Дозволи со слични параметри (погодно е да го копирате правилото SAT и да го замените дејството со Дозволи).
ЗабелешкаВо овој случај, правилата треба да бидат токму по овој редослед: прво SAT, потоа Allow:
Запомнете дека правилото SAT мора да биде над правилото за дозволи. Ова се должи на фактот дека пакетот, кога паѓа во правило за дозволување или негирање, не оди понатаму низ табелата „Правила“.
Во овој случај, правилото за дозволување е креирано и за јавното пристаниште и адреса:
Имајте предвид дека протоколот, интерфејсот и мрежните параметри во правилото за дозволување се исти како во правилото со акцијата „SAT“.
Ми се чинеше дека пакетот веќе е обработен со правилото SAT една линија порано, а адресата и портата на дестинацијата се нови, но не, се чини дека замената се случува некаде откако ќе се обработат сите други правила.
В Функционалноста на SAT е длабоко откриена, тој претставува многу интересни можности. Мојата цел беше да опфатам прашање што не беше опфатено во оваа инструкција и во другите упатства. Се надевам дека упатствата ќе бидат корисни и разбирливи.
Извор: www.habr.com