Jeg hadde en oppgave - å publisere en tjeneste på D-Link DFL-ruteren på en IP-adresse som ikke er knyttet til wan-grensesnittet. Men jeg kunne ikke finne instruksjoner på Internett som ville løse dette problemet, så jeg skrev min egen.
Opprinnelige data (alle adresser er tatt som eksempel)
Webserver på internt nettverk med IP: 192.168.0.2 (havn 8080).
Pool av eksterne hvite adresser tildelt av leverandøren: , leverandørgateway: 5.255.255.1, de resterende "våre" adressene 5.255.255.2-14.
La adressene 5.255.255.2-10 vi bruker den til NAT og andre behov. Leverandørkoblingen er koblet til porten wan1. Til grensesnitt wan1 adresse koblet 5.255.255.2.
Oppgave: publisere en intern webserver til en offentlig adresse 5.255.255.11, ved havnen 80.
Løsningen er kort
For å publisere en tjeneste på en IP som ikke samsvarer med grensesnittadressen trenger du:
- Indiker til ruteren at den publiserte ip-en skal søkes internt vha .
- Publikasjon slik at ruteren svarer til naboer at den publiserte adressen tilhører den.
- brannmurregel (), som inne i ruteren vil endre destinasjonsadressen til adressen til den endelige serveren.
- Brannmurregel (Tillat), som vil tillate en tilkobling fra det eksterne grensesnittet til den publiserte adressen inne i ruteren
Og nå litt mer om hvert punkt
Trening
I. Først, la oss lage "Objekter" for alle våre behov (nå vil jeg vise prosessen for webgrensesnittet, jeg tror de som jobber med konsollen vil kunne overføre handlinger til konsollkommandoer).
1. Legg til to ipv4-adresser i adresseboken:
web-server = 192.168.0.2
offentlig-web-server = 5.255.255.11
2. Deretter legger vi til porter i listen over tjenester:
int_http = tcp:8080
Port tcp:80 er allerede til stede i listen over tjenester, kalt http, har en begrensning i 2000 økter, kan grensen justeres.
ohDet viste seg at det ikke er nødvendig å legge til en serverport på det interne nettverket, men jeg lar det være fordi... et eksempel kan være nødvendig for en offentlig havn, men de legges til på samme måte
II. La oss gå direkte til løsningen.
Avsnitt 1 и 2 kan kombineres, fordi Når du legger til en statisk rute, er det mulig å gi ARP umiddelbart. For å være ærlig så jeg ikke umiddelbart denne muligheten og satte opp publikasjonen manuelt, ruteren har også en slik funksjonalitet.
1. Så hvis du ennå ikke har laget en haug med rutingtabeller og regler for dem, så kan alt gjøres i hovedrutingstabellen, det kalles main.
Bord maindet vil være en standardbane til nettverket 5.255.255.0/28 per grensesnitt wan1. og av denne ruten samsvarer med metrikken spesifisert i grensesnittinnstillingene (som standard 100).
For å forhindre at gatewayen sender pakker tilbake til grensesnittet wan1, må du opprette en statisk rute til adressen offentlig-web-server til grensesnittet kjerne med metrisk mindre 100 (mindre grensesnittberegning wan1) - så vil gatewayen lete etter det "inne i seg selv".
2. Der, når du oppretter en rute, kan du konfigurere Proxy ARP slik at gatewayen svarer på ARP-forespørsler. På Proxy ARP-fanen legger du til et WAN-grensesnitt.
lag en rute, men ikke klikk OK, men gå til den andre Proxy ARP-fanen:
ARP, legg til et grensesnitt wan1:
3. Til slutt går vi videre til å sette opp NAT og brannmur (dette er allerede beskrevet tilstrekkelig detaljert i ).
Vi lager en SAT-regel slik at i pakken fra grensesnittet wan1 med destinasjonsadresse offentlig-web-server ankomsthavn http, som vi konfigurerte en rute for grensesnittet for kjerne, erstatte destinasjonsadressen med den interne adressen til serveren vår web-server og port på 8080.
4. Og neste trinn er å tillate en slik pakke - lag en Tillat-regel med lignende parametere (det er praktisk å kopiere SAT-regelen og erstatte handlingen med Tillat).
MerkI dette tilfellet bør reglene være i nøyaktig denne rekkefølgen: først SAT, deretter Tillat:
Husk at SAT-regelen må være over tillatelsesregelen. Dette skyldes det faktum at en pakke, når den faller inn under en tillatelses- eller avvisningsregel, ikke går videre gjennom "Regler"-tabellen.
I dette tilfellet opprettes tillat-regelen også for den offentlige porten og adressen:
Vær oppmerksom på at protokollen, grensesnittet og nettverksparametrene i tillatelsesregelen er de samme som i regelen med "SAT"-handlingen.
Det virket for meg som om pakken allerede hadde blitt behandlet av SAT-regelen en linje tidligere, og destinasjonsadressen og porten var nye, men nei, det ser ut til at erstatningen skjer en gang etter at alle andre regler har blitt behandlet.
В Funksjonaliteten til SAT er dypt avslørt; det gir mange interessante muligheter. Målet mitt var å dekke et problem som ikke ble dekket i denne instruksjonen og i andre instruksjoner. Jeg håper instruksjonene vil være nyttige og forståelige.
Kilde: www.habr.com