Jag hade en uppgift - att publicera en tjänst på D-Link DFL-routern på en IP-adress som inte är bunden till wan-gränssnittet. Men jag kunde inte hitta instruktioner på Internet som skulle lösa det här problemet, så jag skrev min egen.
Initial data (alla adresser tas som exempel)
Webbserver på internt nätverk med IP: 192.168.0.2 (hamn 8080).
Pool av externa vita adresser som tilldelats av leverantören: 5.255.255.0/28, leverantörs gateway: 5.255.255.1, de återstående "våra" adresserna 5.255.255.2-14.
Låt adresserna 5.255.255.2-10 vi använder det för NAT och andra behov. Leverantörslänken är ansluten till porten wan1. Till gränssnitt wan1 adress länkad 5.255.255.2.
Uppgift: publicera en intern webbserver till en offentlig adress 5.255.255.11, на PORTу 80.
Lösningen är kort
För att publicera en tjänst på en IP som inte motsvarar gränssnittsadressen behöver du:
Ange för routern att den publicerade IP-adressen ska sökas internt med hjälp av rutttabeller.
publikation ARPså att routern svarar till grannar att den publicerade adressen tillhör den.
brandväggsregel (Lördag), som inuti routern kommer att ändra destinationsadressen till adressen för den slutliga servern.
Brandväggsregel (Tillåt), som tillåter en anslutning från det externa gränssnittet till den publicerade adressen inuti routern
Och nu lite mer om varje punkt
Utbildning
I. Låt oss först skapa "Objekt" för alla våra behov (nu ska jag visa processen för webbgränssnittet, jag tror att de som arbetar med konsolen kommer att kunna överföra åtgärder till konsolkommandon).
1. Lägg till två ipv4-adresser i adressboken: Webbserver = 192.168.0.2 public-web-server = 5.255.255.11
2. Sedan lägger vi till portar i listan över tjänster: int_http = tcp:8080
Port tcp:80 finns redan i listan över tjänster, kallad http, har en begränsning i 2000 sessioner kan gränsen justeras.
ohDet visade sig att det inte finns något behov av att lägga till en serverport på det interna nätverket, men jag lämnar det för att... ett exempel kan behövas för en allmän hamn, men de läggs till på samma sätt
II. Låt oss gå direkt till lösningen.
Punkt 1 и 2 kan kombineras, eftersom När du lägger till en statisk rutt är det möjligt att omedelbart tillhandahålla ARP. För att vara ärlig såg jag inte omedelbart den här möjligheten och satte upp publikationen manuellt; routern har också sådan funktionalitet.
1. Så om du ännu inte har skapat ett gäng routingtabeller och regler för dem, så kan allt göras i huvudroutingtabellen, det kallas huvudsakliga.
Tabell huvudsakligadet kommer att finnas en standardsökväg till nätverket 5.255.255.0/28 per gränssnitt wan1. och metrik av denna rutt matchar måtten som anges i gränssnittsinställningarna (som standard 100).
För att förhindra att gatewayen skickar paket tillbaka till gränssnittet wan1måste du skapa en statisk väg till adressen public-web-server till gränssnittet kärna med metrisk mindre 100 (mindre gränssnittsmått wan1) - då kommer gatewayen att leta efter det "inuti sig själv".
2. Där, när du skapar en rutt, kan du konfigurera Proxy ARP så att gatewayen svarar på ARP-förfrågningar. Lägg till ett WAN-gränssnitt på fliken Proxy ARP.
skapa en rutt, men klicka inte på OK, utan gå till den andra Proxy ARP-fliken:
ARP, lägg till ett gränssnitt wan1:
3. Slutligen går vi vidare till att ställa in NAT och brandvägg (detta beskrivs redan tillräckligt detaljerat i instruktioner på webbplatsen dlink.ua).
Vi skapar en SAT-regel så att i paketet från gränssnittet wan1 med destinationsadress public-web-server destinationshamn http, till vilken vi har konfigurerat en rutt för gränssnittet kärna, ersätt destinationsadressen med den interna adressen för vår server Webbserver och hamna på 8080.
4. Och nästa steg är att tillåta ett sådant paket - skapa en Tillåt-regel med liknande parametrar (det är bekvämt att kopiera SAT-regeln och ersätta åtgärden med Tillåt).
en anteckningI det här fallet bör reglerna vara i exakt denna ordning: först SAT, sedan Tillåt:
Kom ihåg att SAT-regeln måste ligga över tillåtregeln. Detta beror på det faktum att ett paket, när det faller in i en tillåtande eller nekande regel, inte går vidare genom tabellen "Regler".
dlink.ua
I det här fallet skapas tillåtsregeln även för den offentliga porten och adressen:
Observera att protokollet, gränssnittet och nätverksparametrarna i den tillåtande regeln är desamma som i regeln med "SAT"-åtgärden.
Det verkade för mig som att paketet redan hade behandlats av SAT-regeln en rad tidigare, och destinationsadressen och porten var nya, men nej, det verkar som om ersättningen inträffar någon gång efter att alla andra regler har behandlats.
В instruktioner från D-link Funktionaliteten hos SAT är djupt avslöjad, den ger många intressanta möjligheter. Mitt mål var att täcka ett problem som inte täcktes i den här instruktionen och i andra instruktioner. Jag hoppas att instruktionerna kommer att vara användbara och förståeliga.