Am avut o sarcină - să public un serviciu pe routerul D-Link DFL la o adresă IP care nu este legată de interfața wan. Dar nu am putut găsi instrucțiuni pe Internet care să rezolve această problemă, așa că le-am scris pe ale mele.
Date inițiale (toate adresele sunt luate ca exemplu)
Server web pe rețea internă cu IP: 192.168.0.2 (port 8080).
Pool de adrese albe externe alocate de furnizor: , gateway furnizor: 5.255.255.1, restul adreselor „noastre”. 5.255.255.2-14.
Lasă adresele 5.255.255.2-10 îl folosim pentru NAT și alte nevoi. Link-ul furnizorului este conectat la port wan1. Pentru a interfata wan1 adresa legată 5.255.255.2.
Sarcină: publicați un server web intern la o adresă publică 5.255.255.11, la port 80.
Soluția este scurtă
Pentru a publica un serviciu pe un IP care nu corespunde adresei interfeței, veți avea nevoie de:
- Indicați routerului că ip-ul publicat ar trebui căutat intern folosind .
- Publicare astfel încât routerul să răspundă vecinilor că adresa publicată îi aparține.
- regula firewall (), care în interiorul routerului va schimba adresa de destinație cu adresa serverului final.
- Regula firewall (Permite), care va permite o conexiune de la interfața externă la adresa publicată în interiorul routerului
Și acum puțin mai multe despre fiecare punct
Pregătire
I. Mai întâi, să creăm „Obiecte” pentru toate nevoile noastre (acum voi arăta procesul pentru interfața web, cred că cei care lucrează cu consola vor putea transfera acțiuni în comenzile consolei).
1. Adăugați două adrese ipv4 în agenda:
server web = 192.168.0.2
server-web-public = 5.255.255.11
2. Apoi adăugăm porturi la lista de servicii:
int_http = tcp:8080
port tcp:80 este deja prezent în lista de servicii, numit http, are o limitare în 2000 sesiuni, limita poate fi ajustată.
ohS-a dovedit că nu este nevoie să adăugați un port de server în rețeaua internă, dar îl las pentru că... un exemplu poate fi necesar pentru un port public, dar acestea sunt adăugate în același mod
II. Să trecem direct la soluție.
Articol 1 и 2 pot fi combinate, deoarece Când adăugați o rută statică, este posibil să furnizați imediat ARP. Sincer să fiu, nu am văzut imediat această oportunitate și am configurat manual publicația și routerul are o astfel de funcționalitate.
1. Deci, dacă nu ați creat încă o grămadă de tabele de rutare și reguli pentru ele, atunci totul se poate face în tabelul principal de rutare, se numește principal.
Masa principalva exista o cale implicită către rețea 5.255.255.0/28 pe interfață wan1. și a acestei rute se potrivește cu metrica specificată în setările interfeței (în mod implicit 100).
Pentru a preveni gateway-ul să trimită pachete înapoi la interfață wan1, trebuie să creați o rută statică către adresă server-web-public la interfață CORE cu metric mai puțin 100 (valoarea interfeței mai mică wan1) - atunci poarta de acces o va căuta „în interiorul său”.
2. Acolo, atunci când creați o rută, puteți configura Proxy ARP astfel încât gateway-ul să răspundă la solicitările ARP. În fila Proxy ARP, adăugați o interfață WAN.
creați o rută, dar nu faceți clic pe OK, ci mergeți la a doua filă Proxy ARP:
ARP, adăugați o interfață wan1:
3. În cele din urmă, trecem la configurarea NAT și a paravanului de protecție (acest lucru este deja descris suficient de detaliat în ).
Creăm o regulă SAT astfel încât în pachetul din interfață wan1 cu adresa de destinatie server-web-public portul de destinație http, către care am configurat o rută pentru interfață CORE, înlocuiți adresa de destinație cu adresa internă a serverului nostru server web și port pe 8080.
4. Și următorul pas este să permiteți un astfel de pachet - creați o regulă Allow cu parametri similari (este convenabil să copiați regula SAT și să înlocuiți acțiunea cu Allow).
NotăÎn acest caz, regulile ar trebui să fie exact în această ordine: mai întâi SAT, apoi Permite:
Amintiți-vă că regula SAT trebuie să fie peste regula de permis. Acest lucru se datorează faptului că un pachet, atunci când se încadrează într-o regulă de admitere sau de refuz, nu trece mai departe prin tabelul „Reguli”.
În acest caz, regula de permis este creată și pentru portul public și adresa:
Vă rugăm să rețineți că protocolul, interfața și parametrii de rețea din regula de autorizare sunt aceiași ca în regula cu acțiunea „SAT”.
Mi s-a părut că pachetul a fost deja procesat de regula SAT cu o linie mai devreme, iar adresa de destinație și portul erau noi, dar nu, se pare că înlocuirea are loc cândva după ce toate celelalte reguli au fost procesate.
В Funcționalitatea SAT este profund dezvăluită, prezintă multe posibilități interesante. Scopul meu a fost să acopăr o problemă care nu a fost tratată în această instrucțiune și în alte instrucțiuni. Sper că instrucțiunile vor fi utile și de înțeles.
Sursa: www.habr.com