Saya mempunyai tugas - untuk menerbitkan perkhidmatan pada penghala D-Link DFL pada alamat IP yang tidak terikat dengan antara muka wan. Tetapi saya tidak dapat mencari arahan di Internet yang akan menyelesaikan masalah ini, jadi saya menulis sendiri.
Data awal (semua alamat diambil sebagai contoh)
Pelayan web pada rangkaian dalaman dengan IP: 192.168.0.2 (pelabuhan 8080).
Kumpulan alamat putih luaran yang diperuntukkan oleh pembekal: , gerbang penyedia: 5.255.255.1, baki alamat "kami". 5.255.255.2-14.
Biarkan alamat 5.255.255.2-10 kami menggunakannya untuk NAT dan keperluan lain. Pautan pembekal disambungkan ke port wan1. Untuk antara muka wan1 alamat dipautkan 5.255.255.2.
Tugas: menerbitkan pelayan web dalaman ke alamat awam 5.255.255.11, di pelabuhan 80.
Penyelesaiannya adalah ringkas
Untuk menerbitkan perkhidmatan pada IP yang tidak sepadan dengan alamat antara muka yang anda perlukan:
- Nyatakan kepada penghala bahawa ip yang diterbitkan harus dicari secara dalaman menggunakan .
- Penerbitan supaya penghala bertindak balas kepada jiran bahawa alamat yang diterbitkan adalah miliknya.
- peraturan firewall (), yang di dalam penghala akan menukar alamat destinasi kepada alamat pelayan akhir.
- Peraturan tembok api (Benarkan), yang akan membenarkan sambungan daripada antara muka luaran ke alamat yang diterbitkan di dalam penghala
Dan sekarang sedikit lagi tentang setiap titik
Latihan
I. Mula-mula, mari buat "Objek" untuk semua keperluan kita (sekarang saya akan menunjukkan proses untuk antara muka web, saya fikir mereka yang bekerja dengan konsol akan dapat memindahkan tindakan kepada arahan konsol).
1. Tambahkan dua alamat ipv4 pada buku alamat:
pelayan web = 192.168.0.2
awam-web-server = 5.255.255.11
2. Kemudian kami menambah port ke senarai perkhidmatan:
int_http = tcp:8080
Pelabuhan tcp:80 sudah ada dalam senarai perkhidmatan, dipanggil http, mempunyai had dalam 2000 sesi, had boleh dilaraskan.
ohTernyata tidak perlu menambah port pelayan pada rangkaian dalaman, tetapi saya meninggalkannya kerana... contoh mungkin diperlukan untuk pelabuhan awam, tetapi ia ditambah dengan cara yang sama
II. Mari kita beralih terus kepada penyelesaian.
Perenggan 1 ΠΈ 2 boleh digabungkan, kerana Apabila menambah laluan statik, adalah mungkin untuk menyediakan ARP dengan segera. Sejujurnya, saya tidak segera melihat peluang ini dan menyediakan penerbitan secara manual;
1. Jadi, jika anda belum lagi mencipta sekumpulan jadual routing dan peraturan untuk mereka, maka semuanya boleh dilakukan dalam jadual routing utama, ia dipanggil utama.
Jadual utamaakan ada laluan lalai ke rangkaian 5.255.255.0/28 setiap antara muka wan1. Dan laluan ini sepadan dengan metrik yang dinyatakan dalam tetapan antara muka (secara lalai 100).
Untuk menghalang get laluan daripada menghantar paket kembali ke antara muka wan1, anda perlu mencipta laluan statik ke alamat awam-web-server kepada antara muka teras dengan metrik kurang 100 (metrik antara muka yang lebih kecil wan1) - maka pintu masuk akan mencarinya "di dalam dirinya sendiri".
2. Di sana, semasa membuat laluan, anda boleh mengkonfigurasi ARP Proksi supaya get laluan bertindak balas kepada permintaan ARP. Pada tab ARP Proksi, tambahkan antara muka WAN.
buat laluan, tetapi jangan klik OK, tetapi pergi ke tab ARP Proksi kedua:
ARP, tambahkan antara muka wan1:
3.Akhir sekali, kita beralih kepada menyediakan NAT dan firewall (ini telah diterangkan dengan terperinci yang mencukupi dalam ).
Kami mencipta peraturan SAT supaya dalam paket dari antara muka wan1 dengan alamat destinasi awam-web-server tempat destinasi http, yang mana kami mengkonfigurasi laluan untuk antara muka teras, gantikan alamat destinasi dengan alamat dalaman pelayan kami pelayan web dan port pada 8080.
4. Dan langkah seterusnya ialah membenarkan paket sedemikian - cipta peraturan Allow dengan parameter yang serupa (mudah untuk menyalin peraturan SAT dan menggantikan tindakan dengan Allow).
catatanDalam kes ini, peraturan hendaklah mengikut susunan ini: pertama SAT, kemudian Benarkan:
Ingat bahawa peraturan SAT mestilah melebihi peraturan yang dibenarkan. Ini disebabkan oleh fakta bahawa paket, apabila ia jatuh ke dalam peraturan membenarkan atau menafikan, tidak pergi lebih jauh melalui jadual "Peraturan".
Dalam kes ini, peraturan membenarkan juga dibuat untuk pelabuhan dan alamat awam:
Sila ambil perhatian bahawa protokol, antara muka dan parameter rangkaian dalam peraturan yang dibenarkan adalah sama seperti dalam peraturan dengan tindakan "SAT".
Nampaknya pada saya bahawa paket itu telah diproses oleh peraturan SAT satu baris lebih awal, dan alamat destinasi dan pelabuhan adalah baharu, tetapi tidak, nampaknya penggantian berlaku selepas semua peraturan lain telah diproses.
Π Fungsi SAT didedahkan secara mendalam; ia membentangkan banyak kemungkinan menarik. Matlamat saya adalah untuk menutup isu yang tidak diliputi dalam arahan ini dan dalam arahan lain. Saya harap arahan akan berguna dan boleh difahami.
Sumber: www.habr.com