Mayroon akong gawain - mag-publish ng isang serbisyo sa D-Link DFL router sa isang IP address na hindi nakatali sa wan interface. Ngunit hindi ako makahanap ng mga tagubilin sa Internet na makakalutas sa problemang ito, kaya sinulat ko ang sarili ko.
Paunang data (lahat ng mga address ay kinuha bilang isang halimbawa)
Web server sa panloob na network na may IP: 192.168.0.2 (port 8080).
Pool ng mga panlabas na puting address na inilaan ng provider: , gateway ng provider: 5.255.255.1, ang natitirang "aming" mga address 5.255.255.2-14.
Hayaan ang mga address 5.255.255.2-10 ginagamit namin ito para sa NAT at iba pang pangangailangan. Ang link ng provider ay konektado sa port wan1. Upang mag-interface wan1 naka-link ang address 5.255.255.2.
Gawain: mag-publish ng panloob na web server sa isang pampublikong address 5.255.255.11, sa daungan 80.
Ang solusyon ay maikli
Upang mag-publish ng isang serbisyo sa isang IP na hindi tumutugma sa interface address na kakailanganin mo:
- Ipahiwatig sa router na ang nai-publish na ip ay dapat hanapin sa loob gamit .
- Publikasyon upang ang router ay tumugon sa mga kapitbahay na ang nai-publish na address ay pag-aari nito.
- panuntunan ng firewall (), na sa loob ng router ay babaguhin ang patutunguhang address sa address ng huling server.
- Panuntunan ng firewall (Allow), na magbibigay-daan sa isang koneksyon mula sa panlabas na interface sa naka-publish na address sa loob ng router
At ngayon ng kaunti pa tungkol sa bawat punto
Pagsasanay
I. Una, gumawa tayo ng "Mga Bagay" para sa lahat ng ating mga pangangailangan (ngayon ay ipapakita ko ang proseso para sa web interface, sa palagay ko ang mga nagtatrabaho sa console ay makakapaglipat ng mga aksyon sa mga utos ng console).
1. Magdagdag ng dalawang ipv4 address sa address book:
Web Server = 192.168.0.2
pampublikong-web-server = 5.255.255.11
2. Pagkatapos ay nagdaragdag kami ng mga port sa listahan ng mga serbisyo:
int_http = tcp:8080
Port tcp:80 ay naroroon na sa listahan ng mga serbisyo, na tinatawag http, ay may limitasyon sa 2000 session, maaaring isaayos ang limitasyon.
ohIto ay lumabas na hindi na kailangang magdagdag ng isang port ng server sa panloob na network, ngunit iniwan ko ito dahil... maaaring kailanganin ang isang halimbawa para sa isang pampublikong port, ngunit idinaragdag ang mga ito sa parehong paraan
II. Direkta tayong lumipat sa solusyon.
Bagay 1 ΠΈ 2 maaaring pagsamahin, dahil Kapag nagdaragdag ng static na ruta, posibleng magbigay kaagad ng ARP. Sa totoo lang, hindi ko agad nakita ang pagkakataong ito at manu-mano ang pag-set up ng publikasyon;
1. Kaya, kung hindi ka pa nakakagawa ng isang grupo ng mga routing table at mga panuntunan para sa kanila, kung gayon ang lahat ay maaaring gawin sa pangunahing routing table, ito ay tinatawag na pangunahin.
mesa pangunahinmagkakaroon ng default na landas sa network 5.255.255.0/28 bawat interface wan1. At ng rutang ito ay tumutugma sa sukatan na tinukoy sa mga setting ng interface (bilang default 100).
Upang pigilan ang gateway sa pagpapadala ng mga packet pabalik sa interface wan1, kailangan mong lumikha ng static na ruta patungo sa address pampublikong-web-server sa interface ubod na may mas kaunting sukatan 100 (mas maliit na sukatan ng interface wan1) - pagkatapos ay hahanapin ito ng gateway "sa loob mismo".
2. Doon, kapag gumagawa ng ruta, maaari mong i-configure ang Proxy ARP upang tumugon ang gateway sa mga kahilingan ng ARP. Sa tab na Proxy ARP, magdagdag ng interface ng WAN.
lumikha ng isang ruta, ngunit huwag i-click ang OK, ngunit pumunta sa pangalawang tab na Proxy ARP:
ARP, magdagdag ng interface wan1:
3. Sa wakas, nagpapatuloy kami sa pag-set up ng NAT at firewall (ito ay inilarawan na sa sapat na detalye sa ).
Lumilikha kami ng isang panuntunan ng SAT upang sa packet mula sa interface wan1 na may patutunguhan na address pampublikong-web-server daungan ng destinasyon http, kung saan nag-configure kami ng ruta para sa interface ubod, palitan ang patutunguhang address ng panloob na address ng aming server Web Server at naka-port 8080.
4. At ang susunod na hakbang ay payagan ang naturang packet - lumikha ng Allow rule na may katulad na mga parameter (maginhawang kopyahin ang SAT rule at palitan ang aksyon ng Allow).
tandaanSa kasong ito, ang mga patakaran ay dapat na nasa ganitong pagkakasunud-sunod: una SAT, pagkatapos ay Payagan:
Tandaan na ang panuntunan ng SAT ay dapat na mas mataas sa panuntunang pinapayagan. Ito ay dahil sa ang katunayan na ang isang packet, kapag ito ay nahulog sa isang pagpapahintulot o pagtanggi sa panuntunan, ay hindi napupunta pa sa talahanayan ng "Mga Panuntunan".
Sa kasong ito, ang payagan na panuntunan ay ginawa din para sa pampublikong port at address:
Pakitandaan na ang protocol, interface at mga parameter ng network sa pinapayagang panuntunan ay kapareho ng sa panuntunang may pagkilos na "SAT".
Para sa akin, ang packet ay naproseso na ng panuntunan ng SAT isang linya nang mas maaga, at ang patutunguhang address at port ay bago, ngunit hindi, tila ang pagpapalit ay nangyayari sa ibang pagkakataon pagkatapos maproseso ang lahat ng iba pang mga patakaran.
Π Ang pag-andar ng SAT ay malalim na inihayag; Ang aking layunin ay upang masakop ang isang isyu na hindi saklaw sa pagtuturo na ito at sa iba pang mga tagubilin. Umaasa ako na ang mga tagubilin ay magiging kapaki-pakinabang at nauunawaan.
Pinagmulan: www.habr.com