Miałem zadanie - opublikować usługę na routerze D-Link DFL pod adresem IP, który nie jest powiązany z interfejsem WAN. Nie mogłem jednak znaleźć w Internecie instrukcji, która rozwiązałaby ten problem, więc napisałem własną.
Dane początkowe (wszystkie adresy są brane jako przykład)
Serwer WWW w sieci wewnętrznej z adresem IP: 192.168.0.2 (Port 8080).
Pula zewnętrznych białych adresów przydzielanych przez dostawcę: , brama dostawcy: 5.255.255.1, pozostałe „nasze” adresy 5.255.255.2-14 .
Niech adresy 5.255.255.2-10 używamy go do NAT i innych potrzeb. Łącze dostawcy jest podłączone do portu wan1. Do interfejsu wan1 adres powiązany 5.255.255.2.
Zadanie: opublikuj wewnętrzny serwer WWW pod adresem publicznym 5.255.255.11, na porcie 80.
Rozwiązanie jest krótkie
Aby opublikować usługę pod adresem IP, który nie odpowiada adresowi interfejsu, będziesz potrzebować:
- Wskaż routerowi, że opublikowany adres IP powinien zostać przeszukany wewnętrznie .
- Publikacja aby router odpowiedział sąsiadom, że opublikowany adres należy do niego.
- reguła zapory sieciowej (), który wewnątrz routera zmieni adres docelowy na adres docelowego serwera.
- Reguła zapory sieciowej (Zezwól), która umożliwi połączenie z interfejsu zewnętrznego z opublikowanym adresem wewnątrz routera
A teraz trochę więcej o każdym punkcie
Szkolenie
I. Najpierw utwórzmy „Obiekty” na wszystkie nasze potrzeby (teraz pokażę proces dla interfejsu WWW, myślę, że ci, którzy pracują z konsolą, będą mogli przenieść akcje na polecenia konsoli).
1. Dodaj dwa adresy IPv4 do książki adresowej:
serwer internetowy = 192.168.0.2
publiczny serwer WWW = 5.255.255.11
2. Następnie dodajemy porty do listy usług:
int_http = protokół TCP:8080
Port protokół TCP:80 znajduje się już na liście usług tzw http, ma ograniczenie w 2000 sesji, limit można dostosować.
ohOkazało się, że nie ma potrzeby dodawania portu serwera w sieci wewnętrznej, ale zostawiam to, bo... przykład może być potrzebny dla portu publicznego, ale są one dodawane w ten sam sposób
II. Przejdźmy bezpośrednio do rozwiązania.
Pozycja 1 и 2 można łączyć, ponieważ Dodając trasę statyczną, można od razu udostępnić ARP. Szczerze mówiąc, nie od razu dostrzegłem tę możliwość i ręcznie skonfigurowałem publikację, router również ma taką funkcjonalność.
1. Jeśli więc nie utworzyłeś jeszcze dla nich kilku tabel routingu i reguł, wszystko można zrobić w głównej tabeli routingu, nazywa się to główny.
Stół głównybędzie domyślna ścieżka do sieci 5.255.255.0/28 na stronie internetowej wan1. I tej trasy odpowiada metryce określonej w ustawieniach interfejsu (domyślnie 100).
Aby uniemożliwić bramie wysyłanie pakietów z powrotem do interfejsu wan1, musisz utworzyć statyczną trasę do adresu publiczny serwer WWW do interfejsu core z mniejszą liczbą metryczną 100 (mniejsza metryka interfejsu wan1) - wtedy bramka będzie go szukać „w sobie”.
2. Tam podczas tworzenia trasy możesz skonfigurować Proxy ARP tak, aby brama odpowiadała na żądania ARP. Na karcie Proxy ARP dodaj interfejs WAN.
utwórz trasę, ale nie klikaj OK, tylko przejdź do drugiej zakładki Proxy ARP:
ARP, dodaj interfejs wan1:
3. Na koniec przechodzimy do konfiguracji NAT i firewalla (jest to już wystarczająco szczegółowo opisane w ).
Tworzymy regułę SAT tak, aby w pakiecie z interfejsu wan1 z adresem docelowym publiczny serwer WWW Port przeznaczenia http, do którego skonfigurowaliśmy trasę dla interfejsu core, zastąp adres docelowy adresem wewnętrznym naszego serwera serwer internetowy i włącz 8080.
4. Kolejnym krokiem jest zezwolenie na taki pakiet - utwórz regułę Zezwól o podobnych parametrach (wygodniej jest skopiować regułę SAT i zastąpić akcję Zezwalaj).
notatkaW takim przypadku reguły powinny być ułożone dokładnie w tej kolejności: najpierw SAT, potem Zezwalaj:
Pamiętaj, że reguła SAT musi znajdować się nad regułą zezwalającą. Dzieje się tak dlatego, że pakiet, gdy podlega regule zezwalającej lub odmawiającej, nie przechodzi dalej przez tabelę „Reguły”.
W tym przypadku reguła zezwalająca jest tworzona również dla publicznego portu i adresu:
Należy pamiętać, że parametry protokołu, interfejsu i sieci w regule zezwalającej są takie same jak w regule z akcją „SAT”.
Wydawało mi się, że pakiet został już przetworzony przez regułę SAT wiersz wcześniej, a adres docelowy i port były nowe, ale nie, wygląda na to, że zamiana następuje jakiś czas po przetworzeniu wszystkich pozostałych reguł.
В Funkcjonalność SAT jest głęboko ujawniona, oferuje wiele interesujących możliwości. Moim celem było omówienie problemu, który nie został uwzględniony w tej instrukcji i innych instrukcjach. Mam nadzieję, że instrukcja będzie przydatna i zrozumiała.
Źródło: www.habr.com