Unë kisha një detyrë - të publikoja një shërbim në ruterin D-Link DFL në një adresë IP që nuk është e lidhur me ndërfaqen wan. Por nuk mund të gjeja udhëzime në internet që do ta zgjidhnin këtë problem, kështu që shkrova të miat.
Të dhënat fillestare (të gjitha adresat janë marrë si shembull)
Ueb server në rrjetin e brendshëm me IP: 192.168.0.2 (port 8080).
Grupi i adresave të jashtme të bardha të alokuara nga ofruesi: , porta e ofruesit: 5.255.255.1, adresat e mbetura "tona". 5.255.255.2-14.
Lërini adresat 5.255.255.2-10 ne e përdorim atë për NAT dhe nevoja të tjera. Lidhja e ofruesit është e lidhur me portin ata1. Për ndërfaqe ata1 adresa e lidhur 5.255.255.2.
Detyrë: publikoni një web server të brendshëm në një adresë publike 5.255.255.11, në port 80.
Zgjidhja është e shkurtër
Për të publikuar një shërbim në një IP që nuk korrespondon me adresën e ndërfaqes, do t'ju duhet:
- Tregojini ruterit që ip-ja e publikuar duhet të kërkohet nga brenda duke përdorur .
- publikim në mënyrë që ruteri t'u përgjigjet fqinjëve se adresa e publikuar i përket atij.
- rregulli i murit të zjarrit (), i cili brenda ruterit do të ndryshojë adresën e destinacionit në adresën e serverit përfundimtar.
- Rregulli i murit të zjarrit (Lejo), i cili do të lejojë një lidhje nga ndërfaqja e jashtme me adresën e publikuar brenda ruterit
Dhe tani pak më shumë për secilën pikë
Trajnimi
I. Së pari, le të krijojmë "Objekte" për të gjitha nevojat tona (tani do të tregoj procesin për ndërfaqen në internet, mendoj se ata që punojnë me tastierën do të jenë në gjendje të transferojnë veprime në komandat e tastierës).
1. Shtoni dy adresa ipv4 në librin e adresave:
web-server = 192.168.0.2
web-server publik = 5.255.255.11
2. Pastaj shtojmë portet në listën e shërbimeve:
int_http = tcp: 8080
Porti tcp: 80 është tashmë i pranishëm në listën e shërbimeve, të quajtur http, ka një kufizim në 2000 seancat, kufiri mund të rregullohet.
ohDoli që nuk ka nevojë të shtohet një portë serveri në rrjetin e brendshëm, por e lë sepse... një shembull mund të jetë i nevojshëm për një port publik, por ato shtohen në të njëjtën mënyrë
II. Le të kalojmë drejtpërdrejt te zgjidhja.
Paragraf 1 и 2 mund të kombinohen, sepse Kur shtoni një rrugë statike, është e mundur që menjëherë të sigurohet ARP. Për të qenë i sinqertë, nuk e pashë menjëherë këtë mundësi dhe e vendosa botimin manualisht, ruteri gjithashtu ka një funksionalitet të tillë.
1. Pra, nëse nuk keni krijuar ende një tufë tabelash rutimi dhe rregulla për to, atëherë gjithçka mund të bëhet në tabelën kryesore të rrugëtimit, quhet kryesor.
Tabela kryesordo të ketë një rrugë të paracaktuar për në rrjet 5.255.255.0/28 për ndërfaqe ata1... DHE e kësaj rruge përputhet me metrikën e specifikuar në cilësimet e ndërfaqes (si parazgjedhje 100).
Për të parandaluar që porta të dërgojë paketa përsëri në ndërfaqe ata1, ju duhet të krijoni një rrugë statike drejt adresës web-server publik te ndërfaqja bërthamë me metrikë më pak 100 (metrika më e vogël e ndërfaqes ata1) - atëherë porta do ta kërkojë atë "brenda vetes".
2. Atje, kur krijoni një rrugë, mund të konfiguroni Proxy ARP në mënyrë që gateway t'i përgjigjet kërkesave ARP. Në skedën Proxy ARP, shtoni një ndërfaqe WAN.
krijoni një rrugë, por mos klikoni OK, por shkoni te skeda e dytë Proxy ARP:
ARP, shtoni një ndërfaqe ata1:
3. Së fundi, ne kalojmë në konfigurimin e NAT dhe murit të zjarrit (kjo është përshkruar tashmë në detaje të mjaftueshme në ).
Ne krijojmë një rregull SAT në mënyrë që në paketën nga ndërfaqja ata1 me adresën e destinacionit web-server publik portin e destinacionit http, për të cilën ne kemi konfiguruar një rrugë për ndërfaqen bërthamë, zëvendësoni adresën e destinacionit me adresën e brendshme të serverit tonë web-server dhe port në 8080.
4. Dhe hapi tjetër është të lejoni një paketë të tillë - krijoni një rregull Lejo me parametra të ngjashëm (është i përshtatshëm të kopjoni rregullin SAT dhe të zëvendësoni veprimin me Lejo).
shënimNë këtë rast, rregullat duhet të jenë pikërisht në këtë rend: së pari SAT, pastaj Lejo:
Mos harroni se rregulli SAT duhet të jetë mbi rregullin e lejimit. Kjo për faktin se një paketë, kur bie në një rregull lejimi ose mohimi, nuk kalon më tej në tabelën "Rregullat".
Në këtë rast, rregulli i lejimit krijohet gjithashtu për portin publik dhe adresën:
Ju lutemi vini re se parametrat e protokollit, ndërfaqes dhe rrjetit në rregullin e lejimit janë të njëjta si në rregullin me veprimin "SAT".
Më dukej se paketa ishte përpunuar tashmë nga rregulli SAT një linjë më parë, dhe adresa e destinacionit dhe porti ishin të reja, por jo, duket se zëvendësimi ndodh diku pasi të jenë përpunuar të gjitha rregullat e tjera.
В Funksionaliteti i SAT është zbuluar thellësisht ai paraqet shumë mundësi interesante. Qëllimi im ishte të mbuloja një çështje që nuk ishte e mbuluar në këtë udhëzim dhe në udhëzimet e tjera. Shpresoj se udhëzimet do të jenë të dobishme dhe të kuptueshme.
Burimi: www.habr.com