ฉันมีงาน - เพื่อเผยแพร่บริการบนเราเตอร์ D-Link DFL ที่ที่อยู่ IP ที่ไม่เชื่อมโยงกับอินเทอร์เฟซ wan แต่ฉันไม่พบคำแนะนำบนอินเทอร์เน็ตที่จะแก้ไขปัญหานี้ได้ ดังนั้นฉันจึงเขียนเอง
ข้อมูลเริ่มต้น (ที่อยู่ทั้งหมดจะถูกนำมาเป็นตัวอย่าง)
เว็บเซิร์ฟเวอร์บนเครือข่ายภายในที่มี IP: 192.168.0.2 (ท่าเรือ 8080).
กลุ่มที่อยู่สีขาวภายนอกที่จัดสรรโดยผู้ให้บริการ:
ให้ที่อยู่ 5.255.255.2-10 เราใช้มันเพื่อ NAT และความต้องการอื่นๆ ลิงค์ผู้ให้บริการเชื่อมต่อกับพอร์ต wan1- เพื่อเชื่อมต่อ wan1 เชื่อมโยงที่อยู่แล้ว 5.255.255.2.
งาน: เผยแพร่เว็บเซิร์ฟเวอร์ภายในไปยังที่อยู่สาธารณะ 5.255.255.11,ที่ท่าเรือ 80.
วิธีแก้ปัญหานั้นสั้น
หากต้องการเผยแพร่บริการบน IP ที่ไม่สอดคล้องกับที่อยู่อินเทอร์เฟซ คุณจะต้อง:
- ระบุให้เราเตอร์ทราบว่าควรค้นหา IP ที่เผยแพร่ภายในโดยใช้
ตารางเส้นทาง . - สิ่งพิมพ์
ARP เพื่อให้เราเตอร์ตอบสนองต่อเพื่อนบ้านว่ามีที่อยู่ที่เผยแพร่อยู่ - กฎไฟร์วอลล์ (
กกท. ) ซึ่งภายในเราเตอร์จะเปลี่ยนที่อยู่ปลายทางเป็นที่อยู่ของเซิร์ฟเวอร์สุดท้าย - กฎไฟร์วอลล์ (อนุญาต) ซึ่งจะอนุญาตการเชื่อมต่อจากอินเทอร์เฟซภายนอกไปยังที่อยู่ที่เผยแพร่ภายในเราเตอร์
และตอนนี้เพิ่มเติมเล็กน้อยเกี่ยวกับแต่ละประเด็น
การอบรม
I. ก่อนอื่นมาสร้าง "วัตถุ" สำหรับทุกความต้องการของเรา (ตอนนี้ฉันจะแสดงกระบวนการสำหรับเว็บอินเตอร์เฟส ฉันคิดว่าผู้ที่ทำงานกับคอนโซลจะสามารถถ่ายโอนการกระทำไปยังคำสั่งคอนโซลได้)
1. เพิ่มที่อยู่ ipv4 สองรายการลงในสมุดที่อยู่:
เว็บเซิร์ฟเวอร์ = 192.168.0.2
เว็บเซิร์ฟเวอร์สาธารณะ = 5.255.255.11
2. จากนั้นเราจะเพิ่มพอร์ตในรายการบริการ:
int_http = ทีซีพี:8080
พอร์ต ทีซีพี:80 มีอยู่แล้วในรายการบริการที่เรียกว่า ที่ http, มีข้อจำกัดในเรื่อง 2000 เซสชัน สามารถปรับขีดจำกัดได้
โอ้ปรากฎว่าไม่จำเป็นต้องเพิ่มพอร์ตเซิร์ฟเวอร์ในเครือข่ายภายใน แต่ฉันปล่อยไว้เพราะ... อาจจำเป็นต้องมีตัวอย่างสำหรับพอร์ตสาธารณะ แต่จะถูกเพิ่มในลักษณะเดียวกัน
ครั้งที่สอง เรามาดูวิธีแก้ปัญหากันโดยตรง
ชิ้น 1 и 2 สามารถรวมกันได้เพราะว่า เมื่อเพิ่มเส้นทางแบบคงที่ สามารถจัดเตรียม ARP ได้ทันที พูดตามตรงฉันไม่เห็นโอกาสนี้ในทันทีและตั้งค่าการเผยแพร่ด้วยตนเอง เราเตอร์ก็มีฟังก์ชันดังกล่าวเช่นกัน
1. ดังนั้น หากคุณยังไม่ได้สร้างตารางเส้นทางและกฎจำนวนมากสำหรับตารางเส้นทางเหล่านั้น ทุกสิ่งสามารถทำได้ในตารางเส้นทางหลัก เรียกว่า หลัก.
ตาราง หลักจะมีเส้นทางเริ่มต้นไปยังเครือข่าย 5.255.255.0/28 ต่ออินเทอร์เฟซ wan1. และ
เพื่อป้องกันไม่ให้เกตเวย์ส่งแพ็กเก็ตกลับไปยังอินเทอร์เฟซ wan1คุณต้องสร้างเส้นทางแบบคงที่ไปยังที่อยู่ เว็บเซิร์ฟเวอร์สาธารณะ ไปยังอินเทอร์เฟซ แกน โดยมีเมตริกน้อยกว่า 100 (เมตริกอินเทอร์เฟซที่เล็กกว่า wan1) - จากนั้นเกตเวย์จะค้นหามัน "ภายในตัวมันเอง"
2. เมื่อสร้างเส้นทาง คุณสามารถกำหนดค่า Proxy ARP เพื่อให้เกตเวย์ตอบสนองต่อคำขอ ARP ได้ บนแท็บ Proxy ARP ให้เพิ่มอินเทอร์เฟซ WAN
สร้างเส้นทาง แต่อย่าคลิกตกลง แต่ไปที่แท็บ Proxy ARP อันที่สอง:
ARP เพิ่มอินเทอร์เฟซ wan1:
3.สุดท้ายเราก็ไปตั้งค่า NAT และไฟร์วอลล์กันต่อ (ซึ่งได้อธิบายไว้อย่างละเอียดเพียงพอแล้วใน
เราสร้างกฎ SAT เพื่อให้แพ็กเก็ตจากอินเทอร์เฟซ wan1 พร้อมที่อยู่ปลายทาง เว็บเซิร์ฟเวอร์สาธารณะ ท่าเรือปลายทาง ที่ httpซึ่งเราได้กำหนดค่าเส้นทางสำหรับอินเทอร์เฟซแล้ว แกนแทนที่ที่อยู่ปลายทางด้วยที่อยู่ภายในของเซิร์ฟเวอร์ของเรา เว็บเซิร์ฟเวอร์ และเปิดพอร์ต 8080.
4. และขั้นตอนต่อไปคือการอนุญาตแพ็กเก็ตดังกล่าว - สร้างกฎอนุญาตด้วยพารามิเตอร์ที่คล้ายกัน (สะดวกในการคัดลอกกฎ SAT และแทนที่การกระทำด้วยอนุญาต)
บันทึกในกรณีนี้ กฎควรอยู่ในลำดับนี้: SAT แรก จากนั้นจึงอนุญาต:
โปรดจำไว้ว่ากฎ SAT ต้องอยู่เหนือกฎอนุญาต นี่เป็นเพราะความจริงที่ว่าแพ็กเก็ตเมื่อตกอยู่ในกฎการอนุญาตหรือปฏิเสธจะไม่ไปไกลกว่านั้นผ่านตาราง "กฎ"
ในกรณีนี้ กฎการอนุญาตจะถูกสร้างขึ้นสำหรับพอร์ตสาธารณะและที่อยู่ด้วย:
โปรดทราบว่าโปรโตคอล อินเทอร์เฟซ และพารามิเตอร์เครือข่ายในกฎการอนุญาตจะเหมือนกับในกฎที่มีการดำเนินการ "SAT"
สำหรับฉันดูเหมือนว่าแพ็กเก็ตได้รับการประมวลผลโดยกฎ SAT แล้วหนึ่งบรรทัดก่อนหน้านี้ และที่อยู่ปลายทางและพอร์ตเป็นใหม่ แต่ไม่ ดูเหมือนว่าการแทนที่จะเกิดขึ้นในบางครั้งหลังจากกฎอื่น ๆ ทั้งหมดได้รับการประมวลผลแล้ว
В
ที่มา: will.com