Kelli kompitu - li nippubblika servizz fuq ir-router DFL D-Link f'indirizz IP li mhux marbut mal-interface wan. Imma ma stajtx insib struzzjonijiet fuq l-Internet li jsolvu din il-problema, għalhekk ktibt tiegħi stess.
Dejta inizjali (l-indirizzi kollha jittieħdu bħala eżempju)
Web server fuq netwerk intern bl-IP: 192.168.0.2 (port 8080).
Grupp ta' indirizzi bojod esterni allokati mill-fornitur: , portal tal-fornitur: 5.255.255.1, l-indirizzi "tagħna" li jifdal 5.255.255.2-14.
Ħalli l-indirizzi 5.255.255.2-10 nużawha għal NAT u bżonnijiet oħra. Il-link tal-fornitur hija konnessa mal-port wan1. Biex interface wan1 indirizz marbut 5.255.255.2.
Kompitu: tippubblika web server intern f'indirizz pubbliku 5.255.255.11, fil-port 80.
Is-soluzzjoni hija qasira
Biex tippubblika servizz fuq IP li ma jikkorrispondix mal-indirizz tal-interface ser ikollok bżonn:
- Indika lir-router li l-ip ippubblikata għandha tiġi mfittxija internament bl-użu .
- Pubblikazzjoni sabiex ir-router jirrispondi lill-ġirien li l-indirizz ippubblikat jappartjeni għalih.
- regola tal-firewall (), li ġewwa r-router se jibdel l-indirizz tad-destinazzjoni għall-indirizz tas-server finali.
- Ir-regola tal-firewall (Ħalli), li tippermetti konnessjoni mill-interface esterna għall-indirizz ippubblikat ġewwa r-router
U issa ftit aktar dwar kull punt
Taħriġ
I. L-ewwel, ejja noħolqu "Oġġetti" għall-bżonnijiet kollha tagħna (issa se nuri l-proċess għall-interface tal-web, naħseb li dawk li jaħdmu mal-console se jkunu jistgħu jittrasferixxu azzjonijiet għall-kmandi tal-console).
1. Żid żewġ indirizzi ipv4 mal-ktieb tal-indirizzi:
web-server = 192.168.0.2
public-web-server = 5.255.255.11
2. Imbagħad inżidu l-portijiet mal-lista tas-servizzi:
int_http = tcp:8080
Port tcp:80 hija diġà preżenti fil-lista tas-servizzi, imsejħa http, għandha limitazzjoni fi 2000 sessjonijiet, il-limitu jista 'jiġi aġġustat.
ohIrriżulta li m'hemmx bżonn li żżid port tas-server fuq in-netwerk intern, iżda nħallih għax... eżempju jista 'jkun meħtieġ għal port pubbliku, iżda huma miżjuda bl-istess mod
II. Ejja nimxu direttament għas-soluzzjoni.
Paragrafu 1 и 2 jistgħu jiġu magħquda, minħabba Meta żżid rotta statika, huwa possibbli li immedjatament tipprovdi ARP. Biex inkun onest, ma rajtx immedjatament din l-opportunità u waqqaf il-pubblikazzjoni manwalment, ir-router għandu wkoll tali funzjonalità.
1. Allura, jekk għadek ma ħloqtx mazz ta 'tabelli ta' rotta u regoli għalihom, allura kollox jista 'jsir fit-tabella tar-rotta prinċipali, tissejjaħ prinċipali.
Tabella prinċipalise jkun hemm mogħdija default għan-netwerk 5.255.255.0/28 għall-interface wan1. U ta' din ir-rotta taqbel mal-metrika speċifikata fis-settings tal-interface (b'mod awtomatiku 100).
Biex tevita li l-portal jibgħat pakketti lura lill-interface wan1, għandek bżonn toħloq rotta statika għall-indirizz public-web-server għall-interface qalba bil-metrika inqas 100 (metrika tal-interface iżgħar wan1) - allura l-portal se jfittxuha "ġewwa nfisha".
2. Hemmhekk, meta toħloq rotta, tista 'tikkonfigura Proxy ARP sabiex il-portal jirrispondi għat-talbiet ARP. Fuq it-tab Proxy ARP, żid interface WAN.
oħloq rotta, imma tikklikkjax OK, imma mur fit-tieni tab Proxy ARP:
ARP, żid interface wan1:
3.Fl-aħħar, ngħaddu biex inwaqqfu NAT u firewall (dan diġà huwa deskritt f'biżżejjed dettall f' ).
Noħolqu regola SAT sabiex fil-pakkett mill-interface wan1 bl-indirizz tad-destinazzjoni public-web-server port tad-destinazzjoni http, li għaliha kkonfigurajna rotta għall-interface qalba, ibdel l-indirizz tad-destinazzjoni bl-indirizz intern tas-server tagħna web-server u port fuq 8080.
4. U l-pass li jmiss huwa li tippermetti pakkett bħal dan - toħloq regola Ħalli b'parametri simili (huwa konvenjenti li tikkopja r-regola SAT u tissostitwixxi l-azzjoni b'Ħalli).
NotaF'dan il-każ, ir-regoli għandhom ikunu eżattament f'din l-ordni: l-ewwel SAT, imbagħad Ħalli:
Ftakar li r-regola SAT trid tkun 'il fuq mir-regola ta' permess. Dan huwa dovut għall-fatt li pakkett, meta jaqa 'f'regola li tippermetti jew li tiċħad, ma jmurx aktar mit-tabella "Regoli".
F'dan il-każ, ir-regola tal-permess tinħoloq ukoll għall-port pubbliku u l-indirizz:
Jekk jogħġbok innota li l-protokoll, l-interface u l-parametri tan-netwerk fir-regola tal-permessi huma l-istess bħal fir-regola bl-azzjoni "SAT".
Deherli li l-pakkett kien diġà ġie pproċessat mir-regola SAT linja qabel, u l-indirizz tad-destinazzjoni u l-port kienu ġodda, iżda le, jidher li s-sostituzzjoni sseħħ f'xi żmien wara li r-regoli l-oħra kollha jkunu ġew ipproċessati.
В Il-funzjonalità tas-SAT hija żvelata fil-fond hija tippreżenta ħafna possibbiltajiet interessanti. L-għan tiegħi kien li nkopri kwistjoni li ma kinitx koperta f'din l-istruzzjoni u fi struzzjonijiet oħra. Nispera li l-istruzzjonijiet ikunu utli u li jinftiehmu.
Sors: www.habr.com