Mal som úlohu - zverejniť službu na routeri D-Link DFL na IP adrese, ktorá nie je viazaná na rozhranie wan. Ale na internete som nenašiel návod, ktorý by tento problém vyriešil, tak som napísal svoj vlastný.
Počiatočné údaje (všetky adresy sú brané ako príklad)
Webový server vo vnútornej sieti s IP: 192.168.0.2 (port 8080).
Skupina externých bielych adries pridelených poskytovateľom: , brána poskytovateľa: 5.255.255.1, zvyšné „naše“ adresy 5.255.255.2-14.
Nechajte adresy 5.255.255.2-10 používame ho na NAT a iné potreby. Odkaz na poskytovateľa je pripojený k portu wan1. Na rozhranie wan1 adresa prepojená 5.255.255.2.
Úloha: zverejniť interný webový server na verejnej adrese 5.255.255.11, v prístave 80.
Riešenie je stručné
Ak chcete publikovať službu na IP, ktorá nezodpovedá adrese rozhrania, budete potrebovať:
- Oznámte smerovaču, že zverejnená adresa IP by sa mala interne vyhľadať pomocou .
- Publikácia aby router odpovedal susedom, že zverejnená adresa patrí jemu.
- pravidlo brány firewall (), ktorý vo vnútri smerovača zmení cieľovú adresu na adresu konečného servera.
- Firewall pravidlo (Allow), ktoré povolí pripojenie z externého rozhrania na zverejnenú adresu vo vnútri smerovača
A teraz trochu viac o každom bode
Tréning
I. Najprv si vytvorte „Objekty“ pre všetky naše potreby (teraz ukážem proces pre webové rozhranie, myslím si, že tí, ktorí pracujú s konzolou, budú môcť prenášať akcie na príkazy konzoly).
1. Pridajte dve adresy ipv4 do adresára:
web-server = 192.168.0.2
verejný webový server = 5.255.255.11
2. Potom pridáme porty do zoznamu služieb:
int_http = tcp:8080
prístav tcp:80 sa už nachádza v zozname služieb, tzv http, má obmedzenie v 2000 relácií, limit je možné upraviť.
achUkázalo sa, že nie je potrebné pridať port servera na internú sieť, ale nechám to, pretože... môže byť potrebný príklad pre verejný prístav, ale pridávajú sa rovnakým spôsobom
II. Prejdime priamo k riešeniu.
Odsek 1 и 2 možno kombinovať, pretože Pri pridávaní statickej cesty je možné okamžite poskytnúť ARP. Aby som bol úprimný, túto príležitosť som okamžite nevidel a nenastavil som publikáciu manuálne;
1. Ak teda ešte nemáte vytvorenú kopu smerovacích tabuliek a pravidiel pre ne, tak všetko sa dá urobiť v hlavnej smerovacej tabuľke, tzv. hlavné.
Tabuľka hlavnébude existovať predvolená cesta k sieti 5.255.255.0/28 na rozhranie wan1, a tejto trasy sa zhoduje s metrikou špecifikovanou v nastaveniach rozhrania (predvolene 100).
Aby brána neposielala pakety späť do rozhrania wan1, musíte vytvoriť statickú cestu k adrese verejný webový server do rozhrania jadro s metrickým menej 100 (menšia metrika rozhrania wan1) - potom ho brána vyhľadá „v sebe“.
2. Tam môžete pri vytváraní trasy nakonfigurovať Proxy ARP tak, aby brána odpovedala na požiadavky ARP. Na karte Proxy ARP pridajte rozhranie WAN.
vytvorte trasu, ale neklikajte na tlačidlo OK, ale prejdite na druhú kartu Proxy ARP:
ARP, pridajte rozhranie wan1:
3.Nakoniec prejdeme k nastaveniu NAT a firewallu (toto je už dostatočne podrobne popísané v ).
Vytvoríme pravidlo SAT tak, že v pakete z rozhrania wan1 s cieľovou adresou verejný webový server prístav destinácie http, ku ktorému sme nakonfigurovali cestu pre rozhranie jadro, nahraďte cieľovú adresu internou adresou nášho servera web-server a port na 8080.
4. Ďalším krokom je povoliť takýto paket – vytvorte pravidlo Allow s podobnými parametrami (vhodné je skopírovať pravidlo SAT a nahradiť akciu akciou Allow).
PoznámkaV tomto prípade by pravidlá mali byť presne v tomto poradí: najprv SAT, potom Allow:
Pamätajte, že pravidlo SAT musí byť vyššie ako pravidlo povolenia. Je to spôsobené skutočnosťou, že paket, keď spadne do pravidla povoľovania alebo odmietnutia, neprejde ďalej cez tabuľku „Pravidlá“.
V tomto prípade sa pravidlo povolenia vytvorí aj pre verejný port a adresu:
Upozorňujeme, že protokol, rozhranie a parametre siete v povoľovacom pravidle sú rovnaké ako v pravidle s akciou „SAT“.
Zdalo sa mi, že paket už bol spracovaný pravidlom SAT o riadok skôr a cieľová adresa a port boli nové, ale nie, zdá sa, že k výmene dôjde niekedy po spracovaní všetkých ostatných pravidiel.
В Funkcionalita SAT je hlboko odhalená a ponúka mnoho zaujímavých možností. Mojím cieľom bolo pokryť problém, ktorý nebol zahrnutý v tomto návode ani v iných pokynoch. Dúfam, že pokyny budú užitočné a zrozumiteľné.
Zdroj: hab.com