Имао сам задатак - да објавим услугу на Д-Линк ДФЛ рутеру на ИП адреси која није везана за ван интерфејс. Али нисам могао да пронађем упутства на Интернету која би решила овај проблем, па сам написала своје.
Почетни подаци (све адресе су узете као пример)
Веб сервер на интерној мрежи са ИП-ом: 192.168.0.2 (Лука 8080).
Скуп спољних белих адреса које је доделио провајдер: , мрежни пролаз провајдера: 5.255.255.1, преостале „наше“ адресе 5.255.255.2-14.
Нека адресе 5.255.255.2-10 користимо га за НАТ и друге потребе. Линк провајдера је повезан са портом ван1. За интерфејс ван1 адреса повезана 5.255.255.2.
Задатак: објавити интерни веб сервер на јавној адреси 5.255.255.11, у луци 80.
Решење је кратко
Да бисте објавили услугу на ИП-у који не одговара адреси интерфејса, требаће вам:
- Назначите рутеру да објављену ИП адресу треба интерно претражити користећи .
- Публикација тако да рутер одговара суседима да му објављена адреса припада.
- правило заштитног зида (), који ће унутар рутера променити одредишну адресу у адресу коначног сервера.
- Правило заштитног зида (Дозволи), које ће омогућити везу са спољног интерфејса на објављену адресу унутар рутера
А сада мало више о свакој тачки
Обука
I. Прво, направимо „Објекте“ за све наше потребе (сада ћу показати процес за веб интерфејс, мислим да ће они који раде са конзолом моћи да пренесу акције на команде конзоле).
1. Додајте две ипв4 адресе у адресар:
веб сервер = 192.168.0.2
јавни-веб-сервер = 5.255.255.11
2. Затим додајемо портове на листу услуга:
инт_хттп = тцп:8080
Лука тцп:80 је већ присутан на листи услуга, тзв хттп, има ограничење у 2000 сесије, граница се може подесити.
охИспоставило се да нема потребе за додавањем порта сервера на интерној мрежи, али то остављам јер... може бити потребан пример за јавну луку, али се додају на исти начин
ИИ. Пређимо директно на решење.
Параграф 1 и 2 могу се комбиновати, јер Приликом додавања статичке руте, могуће је одмах обезбедити АРП. Да будем искрен, нисам одмах видео ову прилику и ручно подесио публикацију и рутер има такву функционалност.
1. Дакле, ако још нисте креирали гомилу табела рутирања и правила за њих, онда се све може урадити у главној табели рутирања, то се зове главни.
Сто главнипостојаће подразумевана путања до мреже 5.255.255.0/28 на интерфејс ван1. И ове руте одговара метрици наведеној у подешавањима интерфејса (подразумевано 100).
Да спречите гатеваи да шаље пакете назад у интерфејс ван1, потребно је да креирате статичку руту до адресе јавни-веб-сервер на интерфејс језгро са метриком мање 100 (мања метрика интерфејса ван1) - тада ће га гејтвеј тражити „у себи“.
2. Тамо, када креирате руту, можете да конфигуришете Проки АРП тако да мрежни пролаз одговара на АРП захтеве. На картици Проки АРП додајте ВАН интерфејс.
креирајте руту, али немојте кликнути на ОК, већ идите на другу картицу Проки АРП:
АРП, додајте интерфејс ван1:
3. Коначно, прелазимо на подешавање НАТ-а и заштитног зида (ово је већ довољно детаљно описано у ).
Креирамо САТ правило тако да у пакету из интерфејса ван1 са одредишном адресом јавни-веб-сервер одредишна лука хттп, до које смо конфигурисали руту за интерфејс језгро, замените одредишну адресу интерном адресом нашег сервера веб сервер и порт укључен 8080.
4. И следећи корак је да дозволите такав пакет - креирајте правило Аллов са сличним параметрима (згодно је копирати САТ правило и заменити акцију са Дозволи).
БелешкаУ овом случају, правила би требало да буду тачно овим редоследом: прво САТ, затим Дозволи:
Запамтите да САТ правило мора бити изнад правила дозволе. Ово је због чињенице да пакет, када падне у правило дозвољавања или одбијања, не пролази даље кроз табелу „Правила“.
У овом случају, правило дозволе се креира и за јавни порт и адресу:
Имајте на уму да су протокол, интерфејс и параметри мреже у правилу дозвољавања исти као у правилу са акцијом „САТ“.
Чинило ми се да је пакет већ обрађен по САТ правилу линију раније, а одредишна адреса и порт су нови, али не, изгледа да се замена дешава негде након што су сва друга правила обрађена.
В Функционалност САТ-а је дубоко откривена; Мој циљ је био да покријем питање које није било обухваћено овим и другим упутствима. Надам се да ће упутства бити корисна и разумљива.
Извор: ввв.хабр.цом