Eu tinha uma tarefa - publicar um serviço no roteador D-Link DFL em um endereço IP que não estivesse vinculado à interface wan. Mas não consegui encontrar instruções na Internet que resolvessem esse problema, então escrevi as minhas.
Dados iniciais (todos os endereços são tomados como exemplo)
Servidor web na rede interna com IP: 192.168.0.2 (porta 8080).
Conjunto de endereços brancos externos alocados pelo provedor: , gateway do provedor: 5.255.255.1, os restantes “nossos” endereços 5.255.255.2-14.
Deixe os endereços 5.255.255.2-10 nós o usamos para NAT e outras necessidades. O link do provedor está conectado à porta wan1. Para fazer a interface wan1 endereço vinculado 5.255.255.2.
Tarefa: publicar um servidor web interno em um endereço público 5.255.255.11, no porto 80.
A solução é breve
Para publicar um serviço em um IP que não corresponda ao endereço da interface você precisará de:
- Indique ao roteador que o ip publicado deve ser pesquisado internamente usando .
- Publicação para que o roteador responda aos vizinhos que o endereço publicado lhe pertence.
- regra de firewall (), que dentro do roteador mudará o endereço de destino para o endereço do servidor final.
- Regra de firewall (Permitir), que permitirá uma conexão da interface externa ao endereço publicado dentro do roteador
E agora um pouco mais sobre cada ponto
Treinamento
I. Primeiro vamos criar “Objetos” para todas as nossas necessidades (agora vou mostrar o processo para a interface web, acho que quem trabalha com o console poderá transferir ações para os comandos do console).
1. Adicione dois endereços IPv4 ao catálogo de endereços:
servidor web = 192.168.0.2
servidor web público = 5.255.255.11
2. Em seguida, adicionamos portas à lista de serviços:
int_http = tcp:8080
Porto tcp:80 já está presente na lista de serviços, chamada http, tem uma limitação 2000 sessões, o limite pode ser ajustado.
ойAcontece que não há necessidade de adicionar uma porta de servidor na rede interna, mas deixo porque... um exemplo pode ser necessário para uma porta pública, mas eles são adicionados da mesma maneira
II. Vamos diretamente para a solução.
Item 1 и 2 podem ser combinados, porque Ao adicionar uma rota estática, é possível fornecer ARP imediatamente. Para ser sincero, não vi imediatamente esta oportunidade e configurei a publicação manualmente, o roteador também possui essa funcionalidade.
1. Então, se você ainda não criou um monte de tabelas de roteamento e regras para elas, então tudo pode ser feito na tabela de roteamento principal, ela é chamada principal.
Mesa principalhaverá um caminho padrão para a rede 5.255.255.0/28 por interface wan1. E desta rota corresponde à métrica especificada nas configurações da interface (por padrão 100).
Para evitar que o gateway envie pacotes de volta para a interface wan1, você precisa criar uma rota estática para o endereço servidor web público para a interface core com métrica menor 100 (métrica de interface menor wan1) - então o gateway irá procurá-lo “dentro de si”.
2. Lá, ao criar uma rota, você pode configurar o Proxy ARP para que o gateway responda às solicitações ARP. Na guia Proxy ARP, adicione uma interface WAN.
crie uma rota, mas não clique em OK, mas vá para a segunda aba Proxy ARP:
ARP, adicione uma interface wan1:
3.Finalmente, passamos à configuração do NAT e do firewall (isso já está descrito com detalhes suficientes em ).
Criamos uma regra SAT para que no pacote da interface wan1 com endereço de destino servidor web público Porto de destino http, para o qual configuramos uma rota para a interface core, substitua o endereço de destino pelo endereço interno do nosso servidor servidor web e porta ligada 8080.
4. E o próximo passo é permitir tal pacote - crie uma regra Permitir com parâmetros semelhantes (é conveniente copiar a regra SAT e substituir a ação por Permitir).
noteNesse caso, as regras devem estar exatamente nesta ordem: primeiro SAT, depois Permitir:
Lembre-se de que a regra SAT deve estar acima da regra de permissão. Isto se deve ao fato de que um pacote, quando cai em uma regra de permissão ou negação, não avança na tabela “Regras”.
Neste caso, a regra de permissão também é criada para a porta e endereço públicos:
Observe que os parâmetros de protocolo, interface e rede na regra de permissão são os mesmos da regra com a ação “SAT”.
Pareceu-me que o pacote já havia sido processado pela regra SAT uma linha antes, e o endereço e a porta de destino eram novos, mas não, parece que a substituição ocorre algum tempo depois de todas as outras regras terem sido processadas.
В A funcionalidade do SAT é profundamente revelada; apresenta muitas possibilidades interessantes. Meu objetivo era abordar um assunto que não foi abordado nesta instrução e em outras instruções. Espero que as instruções sejam úteis e compreensíveis.
Fonte: habr.com