Ik had een taak: een service publiceren op de D-Link DFL-router op een IP-adres dat niet gebonden is aan de wan-interface. Maar ik kon op internet geen instructies vinden die dit probleem zouden oplossen, dus schreef ik mijn eigen instructies.
Initiële gegevens (alle adressen worden als voorbeeld genomen)
Webserver op intern netwerk met IP: 192.168.0.2 (haven 8080).
Pool van externe witte adressen toegewezen door de provider: , providergateway: 5.255.255.1, de overige “onze” adressen 5.255.255.2-14.
Laat de adressen 5.255.255.2-10 we gebruiken het voor NAT en andere behoeften. De providerkoppeling is verbonden met de poort wan1. Om te interfacen wan1 adres gekoppeld 5.255.255.2.
Taak: publiceer een interne webserver naar een openbaar adres 5.255.255.11, hoe dan ook 80.
De oplossing is kort
Om een dienst te publiceren op een IP-adres dat niet overeenkomt met het interface-adres heeft u het volgende nodig:
- Geef aan de router aan dat het gepubliceerde IP-adres intern moet worden doorzocht .
- uitgave zodat de router naar buren reageert dat het gepubliceerde adres erbij hoort.
- firewallregel (), die binnen de router het bestemmingsadres zal veranderen in het adres van de uiteindelijke server.
- Firewallregel (Toestaan), die een verbinding van de externe interface naar het gepubliceerde adres in de router mogelijk maakt
En nu iets meer over elk punt
Opleiding
I. Laten we eerst "Objecten" maken voor al onze behoeften (nu zal ik het proces voor de webinterface laten zien, ik denk dat degenen die met de console werken acties kunnen overbrengen naar console-opdrachten).
1. Voeg twee ipv4-adressen toe aan het adresboek:
web Server = 192.168.0.2
openbare webserver = 5.255.255.11
2. Vervolgens voegen we poorten toe aan de lijst met services:
int_http = tcp:8080
Haven tcp:80 is al aanwezig in de lijst met services, genaamd http, heeft een beperking in 2000 sessies kan de limiet worden aangepast.
ohHet bleek dat het niet nodig is om een serverpoort toe te voegen aan het interne netwerk, maar ik laat deze staan omdat... Voor een openbare haven kan een voorbeeld nodig zijn, maar deze worden op dezelfde manier toegevoegd
II. Laten we direct naar de oplossing gaan.
Item 1 и 2 kan worden gecombineerd, omdat Bij het toevoegen van een statische route is het mogelijk om direct ARP aan te bieden. Eerlijk gezegd zag ik deze mogelijkheid niet meteen en heb ik de publicatie handmatig ingesteld; de router heeft ook dergelijke functionaliteit.
1. Dus als u nog niet een aantal routeringstabellen en regels voor hen heeft gemaakt, dan kan alles gedaan worden in de hoofdrouteringstabel, deze heet hoofd-.
Tafel hoofd-er zal een standaardpad naar het netwerk zijn 5.255.255.0/28 а интерфейс wan1. en van deze route komt overeen met de metriek die is opgegeven in de interface-instellingen (standaard 100).
Om te voorkomen dat de gateway pakketten terugstuurt naar de interface wan1, moet u een statische route naar het adres maken openbare webserver naar de interface kern met metrisch minder 100 (kleinere interfacemetriek wan1) - dan zal de gateway ernaar zoeken “binnen zichzelf”.
2. Daar kunt u bij het maken van een route Proxy ARP zo configureren dat de gateway reageert op ARP-verzoeken. Voeg op het tabblad Proxy ARP een WAN-interface toe.
maak een route aan, maar klik niet op OK, maar ga naar het tweede Proxy ARP-tabblad:
ARP, voeg een interface toe wan1:
3. Tenslotte gaan we verder met het instellen van NAT en firewall (dit is al voldoende gedetailleerd beschreven in ).
We creëren een SAT-regel zodat in het pakket van de interface wan1 met bestemmingsadres openbare webserver haven van bestemming http, waarnaar we een route voor de interface hebben geconfigureerd kern, vervang het bestemmingsadres door het interne adres van onze server web Server en poort aan 8080.
4. En de volgende stap is om zo'n pakket toe te staan: maak een Toestaan-regel met vergelijkbare parameters (het is handig om de SAT-regel te kopiëren en de actie te vervangen door Toestaan).
OpmerkingIn dit geval moeten de regels precies in deze volgorde staan: eerst SAT, dan Allow:
Houd er rekening mee dat de SAT-regel boven de allow-regel moet liggen. Dit komt door het feit dat een pakket, wanneer het onder een regel voor toestaan of weigeren valt, niet verder door de tabel “Regels” gaat.
In dit geval wordt de allow-regel ook gemaakt voor de openbare poort en het openbare adres:
Houd er rekening mee dat de protocol-, interface- en netwerkparameters in de toestemmingsregel hetzelfde zijn als in de regel met de actie “SAT”.
Het leek mij dat het pakket al een regel eerder door de SAT-regel was verwerkt en dat het bestemmingsadres en de poort nieuw waren, maar nee, het lijkt erop dat de vervanging ergens plaatsvindt nadat alle andere regels zijn verwerkt.
В De functionaliteit van SAT wordt diep onthuld; het biedt veel interessante mogelijkheden. Mijn doel was om een kwestie te behandelen die niet in deze instructie en in andere instructies aan bod kwam. Ik hoop dat de instructies nuttig en begrijpelijk zullen zijn.
Bron: www.habr.com