Jeg hadde en oppgave - Ä publisere en tjeneste pÄ D-Link DFL-ruteren pÄ en IP-adresse som ikke er knyttet til wan-grensesnittet. Men jeg kunne ikke finne instruksjoner pÄ Internett som ville lÞse dette problemet, sÄ jeg skrev min egen.
Opprinnelige data (alle adresser er tatt som eksempel)
Webserver pÄ internt nettverk med IP: 192.168.0.2 (havn 8080).
Pool av eksterne hvite adresser tildelt av leverandÞren: , leverandÞrgateway: 5.255.255.1, de resterende "vÄre" adressene 5.255.255.2-14.
La adressene 5.255.255.2-10 vi bruker den til NAT og andre behov. LeverandĂžrkoblingen er koblet til porten wan1. Til grensesnitt wan1 adresse koblet 5.255.255.2.
Oppgave: publisere en intern webserver til en offentlig adresse 5.255.255.11, ved havnen 80.
LĂžsningen er kort
For Ä publisere en tjeneste pÄ en IP som ikke samsvarer med grensesnittadressen trenger du:
- Indiker til ruteren at den publiserte ip-en skal sĂžkes internt vha .
- Publikasjon slik at ruteren svarer til naboer at den publiserte adressen tilhĂžrer den.
- brannmurregel (), som inne i ruteren vil endre destinasjonsadressen til adressen til den endelige serveren.
- Brannmurregel (Tillat), som vil tillate en tilkobling fra det eksterne grensesnittet til den publiserte adressen inne i ruteren
Og nÄ litt mer om hvert punkt
Trening
I. FÞrst, la oss lage "Objekter" for alle vÄre behov (nÄ vil jeg vise prosessen for webgrensesnittet, jeg tror de som jobber med konsollen vil kunne overfÞre handlinger til konsollkommandoer).
1. Legg til to ipv4-adresser i adresseboken:
web-server = 192.168.0.2
offentlig-web-server = 5.255.255.11
2. Deretter legger vi til porter i listen over tjenester:
int_http = tcp:8080
Port tcp:80 er allerede til stede i listen over tjenester, kalt http, har en begrensning i 2000 Ăžkter, kan grensen justeres.
ohDet viste seg at det ikke er nÞdvendig Ä legge til en serverport pÄ det interne nettverket, men jeg lar det vÊre fordi... et eksempel kan vÊre nÞdvendig for en offentlig havn, men de legges til pÄ samme mÄte
II. La oss gÄ direkte til lÞsningen.
Avsnitt 1 О 2 kan kombineres, fordi NÄr du legger til en statisk rute, er det mulig Ä gi ARP umiddelbart. For Ä vÊre Êrlig sÄ jeg ikke umiddelbart denne muligheten og satte opp publikasjonen manuelt, ruteren har ogsÄ en slik funksjonalitet.
1. SÄ hvis du ennÄ ikke har laget en haug med rutingtabeller og regler for dem, sÄ kan alt gjÞres i hovedrutingstabellen, det kalles main.
Bord maindet vil vĂŠre en standardbane til nettverket 5.255.255.0/28 per grensesnitt wan1. og av denne ruten samsvarer med metrikken spesifisert i grensesnittinnstillingene (som standard 100).
For Ä forhindre at gatewayen sender pakker tilbake til grensesnittet wan1, mÄ du opprette en statisk rute til adressen offentlig-web-server til grensesnittet kjerne med metrisk mindre 100 (mindre grensesnittberegning wan1) - sÄ vil gatewayen lete etter det "inne i seg selv".
2. Der, nÄr du oppretter en rute, kan du konfigurere Proxy ARP slik at gatewayen svarer pÄ ARP-forespÞrsler. PÄ Proxy ARP-fanen legger du til et WAN-grensesnitt.
lag en rute, men ikke klikk OK, men gÄ til den andre Proxy ARP-fanen:
ARP, legg til et grensesnitt wan1:
3. Til slutt gÄr vi videre til Ä sette opp NAT og brannmur (dette er allerede beskrevet tilstrekkelig detaljert i ).
Vi lager en SAT-regel slik at i pakken fra grensesnittet wan1 med destinasjonsadresse offentlig-web-server ankomsthavn http, som vi konfigurerte en rute for grensesnittet for kjerne, erstatte destinasjonsadressen med den interne adressen til serveren vÄr web-server og port pÄ 8080.
4. Og neste trinn er Ă„ tillate en slik pakke - lag en Tillat-regel med lignende parametere (det er praktisk Ă„ kopiere SAT-regelen og erstatte handlingen med Tillat).
MerkI dette tilfellet bĂžr reglene vĂŠre i nĂžyaktig denne rekkefĂžlgen: fĂžrst SAT, deretter Tillat:
Husk at SAT-regelen mÄ vÊre over tillatelsesregelen. Dette skyldes det faktum at en pakke, nÄr den faller inn under en tillatelses- eller avvisningsregel, ikke gÄr videre gjennom "Regler"-tabellen.
I dette tilfellet opprettes tillat-regelen ogsÄ for den offentlige porten og adressen:
VÊr oppmerksom pÄ at protokollen, grensesnittet og nettverksparametrene i tillatelsesregelen er de samme som i regelen med "SAT"-handlingen.
Det virket for meg som om pakken allerede hadde blitt behandlet av SAT-regelen en linje tidligere, og destinasjonsadressen og porten var nye, men nei, det ser ut til at erstatningen skjer en gang etter at alle andre regler har blitt behandlet.
РFunksjonaliteten til SAT er dypt avslÞrt; det gir mange interessante muligheter. MÄlet mitt var Ä dekke et problem som ikke ble dekket i denne instruksjonen og i andre instruksjoner. Jeg hÄper instruksjonene vil vÊre nyttige og forstÄelige.
Kilde: www.habr.com
