Bir görevim vardı - D-Link DFL yönlendiricisinde wan arayüzüne bağlı olmayan bir IP adresinde bir hizmet yayınlamak. Ancak internette bu sorunu çözecek talimatları bulamadım, bu yüzden kendim yazdım.
Başlangıç verileri (tüm adresler örnek olarak alınmıştır)
IP'li dahili ağdaki web sunucusu: 192.168.0.2 (Liman 8080).
Sağlayıcı tarafından tahsis edilen harici beyaz adres havuzu: , sağlayıcı ağ geçidi: 5.255.255.1, kalan "bizim" adreslerimiz 5.255.255.2-14.
Adresler olsun 5.255.255.2-10 NAT ve diğer ihtiyaçlar için kullanıyoruz. Sağlayıcı bağlantısı bağlantı noktasına bağlı wan1. Arayüze wan1 adres bağlantılı 5.255.255.2.
Görev: dahili bir web sunucusunu genel bir adrese yayınlama 5.255.255.11, na порту 80.
Çözüm kısa
Arayüz adresine karşılık gelmeyen bir IP'de bir hizmet yayınlamak için ihtiyacınız olacak:
- Yönlendiriciye, yayınlanan IP'nin dahili olarak aranması gerektiğini belirtin. .
- Yayın böylece yönlendirici, yayınlanan adresin kendisine ait olduğu konusunda komşulara yanıt verir.
- güvenlik duvarı kuralı (), yönlendiricinin içindeki hedef adresi son sunucunun adresine değiştirecektir.
- Harici arayüzden yönlendiricinin içinde yayınlanan adrese bağlantıya izin verecek güvenlik duvarı kuralı (İzin Ver)
Ve şimdi her nokta hakkında biraz daha
Eğitim
I. Öncelikle tüm ihtiyaçlarımıza yönelik “Nesneler” oluşturalım (şimdi web arayüzü için süreci göstereceğim, konsolla çalışanların eylemleri konsol komutlarına aktarabileceklerini düşünüyorum).
1. Adres defterine iki ipv4 adresi ekleyin:
web sunucusu = 192.168.0.2
genel web sunucusu = 5.255.255.11
2. Daha sonra hizmetler listesine bağlantı noktaları ekliyoruz:
int_http = TCP:8080
Liman TCP:80 adı verilen hizmetler listesinde zaten mevcut http, bir sınırlaması var 2000 oturumların limiti ayarlanabilir.
eyDahili ağa sunucu portu eklemeye gerek olmadığı ortaya çıktı ama bırakıyorum çünkü... halka açık bir liman için örnek gerekebilir ancak aynı şekilde eklenirler
II. Doğrudan çözüme geçelim.
Madde 1 и 2 birleştirilebilir çünkü Statik rota eklerken anında ARP sağlamak mümkündür. Dürüst olmak gerekirse, bu fırsatı hemen görmedim ve yayını manuel olarak kurmadım, yönlendiricinin de böyle bir işlevi var.
1. Dolayısıyla, henüz bir grup yönlendirme tablosu ve onlar için kural oluşturmadıysanız, her şey ana yönlendirme tablosunda yapılabilir, buna denir ana.
Tablo anaağa giden varsayılan bir yol olacak 5.255.255.0/28 arayüz başına wan1. Ve Bu rotanın yüzdesi arayüz ayarlarında belirtilen ölçümle eşleşiyor (varsayılan olarak) 100).
Ağ geçidinin paketleri arayüze geri göndermesini önlemek için wan1adrese statik bir rota oluşturmanız gerekir genel web sunucusu arayüze çekirdek metrik daha az 100 (daha küçük arayüz metriği wan1) - o zaman ağ geçidi onu "kendi içinde" arayacaktır.
2. Burada, bir rota oluştururken, Proxy ARP'yi, ağ geçidinin ARP isteklerine yanıt verecek şekilde yapılandırabilirsiniz. Proxy ARP sekmesinde bir WAN arayüzü ekleyin.
bir rota oluşturun, ancak Tamam'a tıklamayın, ancak ikinci Proxy ARP sekmesine gidin:
ARP, bir arayüz ekleyin wan1:
3.Son olarak NAT ve güvenlik duvarının kurulumuna geçiyoruz (bu zaten yeterince ayrıntılı olarak açıklanmıştır) ).
Arayüzden gelen pakette bir SAT kuralı oluşturuyoruz. wan1 hedef adresiyle genel web sunucusu Hedef noktası httparayüz için bir rota yapılandırdığımız çekirdek, hedef adresi sunucumuzun dahili adresiyle değiştirin web sunucusu ve bağlantı noktası açık 8080.
4. Ve bir sonraki adım, böyle bir pakete izin vermektir - benzer parametrelerle bir İzin Ver kuralı oluşturun (SAT kuralını kopyalamak ve eylemi İzin Ver ile değiştirmek uygundur).
düşünceBu durumda kurallar tam olarak şu sırada olmalıdır: önce SAT, sonra İzin Ver:
SAT kuralının izin verme kuralının üzerinde olması gerektiğini unutmayın. Bunun nedeni, bir paketin izin verme veya reddetme kuralına girdiğinde "Kurallar" tablosunda daha ileri gitmemesidir.
Bu durumda, genel bağlantı noktası ve adres için de izin verme kuralı oluşturulur:
İzin verme kuralındaki protokol, arayüz ve ağ parametrelerinin "SAT" eylemini içeren kuraldakiyle aynı olduğunu lütfen unutmayın.
Bana öyle geliyor ki paket SAT kuralı tarafından bir satır önce zaten işlenmişti ve hedef adres ile bağlantı noktası yeniydi, ancak hayır, öyle görünüyor ki değiştirme diğer tüm kuralların işlenmesinden bir süre sonra gerçekleşiyor.
В SAT'ın işlevselliği derinlemesine ortaya çıkıyor; birçok ilginç olasılık sunuyor. Amacım bu talimatta ve diğer talimatlarda ele alınmayan bir konuyu ele almaktı. Talimatların yararlı ve anlaşılır olacağını umuyorum.
Kaynak: habr.com