Imel sem nalogo - objaviti storitev na usmerjevalniku D-Link DFL na naslovu IP, ki ni vezan na vmesnik wan. Toda na internetu nisem našel navodil, ki bi rešila to težavo, zato sem napisal svoje.
Začetni podatki (vsi naslovi so vzeti kot primer)
Spletni strežnik v internem omrežju z IP: 192.168.0.2 (pristanišče 8080).
Bazen zunanjih belih naslovov, ki jih je dodelil ponudnik: , prehod ponudnika: 5.255.255.1, ostali »naši« naslovi 5.255.255.2-14.
Naj naslovi 5.255.255.2-10 uporabljamo ga za NAT in druge potrebe. Povezava ponudnika je povezana z vrati wan1. Za vmesnik wan1 povezan naslov 5.255.255.2.
Naloga: objaviti interni spletni strežnik na javnem naslovu 5.255.255.11, v pristanišču 80.
Rešitev je kratka
Za objavo storitve na naslovu IP, ki ne ustreza naslovu vmesnika, boste potrebovali:
- Pokažite usmerjevalniku, da mora objavljeni ip interno iskati z uporabo .
- Objava tako da usmerjevalnik odgovori sosedom, da objavljeni naslov pripada njemu.
- pravilo požarnega zidu (), ki znotraj usmerjevalnika spremeni ciljni naslov v naslov končnega strežnika.
- Pravilo požarnega zidu (Allow), ki bo omogočilo povezavo z zunanjega vmesnika na objavljen naslov znotraj usmerjevalnika
In zdaj malo več o vsaki točki
Izobraževanje
I. Najprej ustvarimo »predmete« za vse naše potrebe (zdaj bom pokazal postopek za spletni vmesnik, mislim, da bodo tisti, ki delajo s konzolo, lahko prenesli dejanja na ukaze konzole).
1. Dodajte dva naslova ipv4 v imenik:
Spletni strežnik = 192.168.0.2
javni spletni strežnik = 5.255.255.11
2. Nato na seznam storitev dodamo vrata:
int_http = tcp:8080
Pristanišče tcp:80 je že prisoten na seznamu storitev, imenovan http, ima omejitev v 2000 sej, se omejitev lahko prilagodi.
ohIzkazalo se je, da v notranjem omrežju ni treba dodajati vrat strežnika, vendar ga pustim, ker ... primer je morda potreben za javna vrata, vendar so dodani na enak način
II. Pojdimo neposredno k rešitvi.
Postavka 1 и 2 mogoče kombinirati, saj Pri dodajanju statične poti je mogoče takoj zagotoviti ARP. Če sem iskren, nisem takoj videl te priložnosti in ročno nastavil objave; usmerjevalnik ima tudi takšno funkcionalnost.
1. Torej, če še niste ustvarili kopice usmerjevalnih tabel in pravil zanje, lahko vse naredite v glavni usmerjevalni tabeli, ki se imenuje Glavni.
Tabela Glavniobstaja privzeta pot do omrežja 5.255.255.0/28 na vmesnik wan1. In te poti se ujema z metriko, določeno v nastavitvah vmesnika (privzeto 100).
Da preprečite, da bi prehod pošiljal pakete nazaj v vmesnik wan1, morate ustvariti statično pot do naslova javni spletni strežnik na vmesnik jedro z metriko manj 100 (manjša metrika vmesnika wan1) - potem ga bo prehod iskal "znotraj sebe".
2. Tam lahko pri ustvarjanju poti konfigurirate proxy ARP tako, da se prehod odziva na zahteve ARP. Na zavihku Proxy ARP dodajte vmesnik WAN.
ustvarite pot, vendar ne kliknite OK, ampak pojdite na drugi zavihek Proxy ARP:
ARP, dodaj vmesnik wan1:
3. Končno preidemo na nastavitev NAT in požarnega zidu (to je že dovolj podrobno opisano v ).
Ustvarimo pravilo SAT, tako da v paketu iz vmesnika wan1 s ciljnim naslovom javni spletni strežnik namembno pristanišče http, do katerega smo konfigurirali pot za vmesnik jedrozamenjajte ciljni naslov z notranjim naslovom našega strežnika Spletni strežnik in vrata naprej 8080.
4. In naslednji korak je dovoliti tak paket - ustvarite pravilo Dovoli s podobnimi parametri (priročno je kopirati pravilo SAT in zamenjati dejanje z Dovoli).
OpombaV tem primeru morajo biti pravila točno v tem vrstnem redu: najprej SAT, nato Allow:
Ne pozabite, da mora biti pravilo SAT nad dovoljenim pravilom. To je posledica dejstva, da paket, ko pade v dovoljeno ali zavrnitveno pravilo, ne gre naprej skozi tabelo »Pravila«.
V tem primeru je dovoljeno pravilo ustvarjeno tudi za javna vrata in naslov:
Upoštevajte, da so protokol, vmesnik in omrežni parametri v dovolilnem pravilu enaki kot v pravilu z dejanjem »SAT«.
Zdelo se mi je, da je bil paket že obdelan s pravilom SAT eno vrstico prej in sta bila ciljni naslov in vrata nova, vendar ne, zdi se, da se zamenjava zgodi nekoč po tem, ko so bila obdelana vsa druga pravila.
В Funkcionalnost SAT je globoko razkrita, ponuja številne zanimive možnosti. Moj cilj je bil obravnavati vprašanje, ki ni bilo zajeto v tem navodilu in drugih navodilih. Upam, da bodo navodila koristna in razumljiva.
Vir: www.habr.com