Menda vazifa bor edi - D-Link DFL routerida wan interfeysiga bog'lanmagan IP manzilida xizmatni nashr qilish. Lekin men Internetda bu muammoni hal qiladigan ko'rsatmalarni topa olmadim, shuning uchun men o'zim yozdim.
Dastlabki ma'lumotlar (barcha manzillar misol sifatida olingan)
IP bilan ichki tarmoqdagi veb-server: 192.168.0.2 (port 8080).
Provayder tomonidan ajratilgan tashqi oq manzillar to'plami: , provayder shlyuzi: 5.255.255.1, qolgan "bizning" manzillarimiz 5.255.255.2-14.
Manzillarga ruxsat bering 5.255.255.2-10 biz uni NAT va boshqa ehtiyojlar uchun ishlatamiz. Provayder havolasi portga ulangan wan1. Interfeys uchun wan1 manzil bog'langan 5.255.255.2.
Vazifa: umumiy manzilga ichki veb-serverni nashr qilish 5.255.255.11, portda 80.
Yechim qisqa
Interfeys manziliga mos kelmaydigan IP-da xizmatni nashr qilish uchun sizga kerak bo'ladi:
- Routerga e'lon qilingan IP-dan foydalanib ichki qidirish kerakligini ko'rsating .
- Nashr shunday qilib, marshrutizator qo'shnilarga e'lon qilingan manzil unga tegishli ekanligiga javob beradi.
- xavfsizlik devori qoidasi (), marshrutizator ichida maqsad manzilini oxirgi server manziliga o'zgartiradi.
- Tashqi interfeysdan yo'riqnoma ichidagi e'lon qilingan manzilga ulanish imkonini beruvchi xavfsizlik devori qoidasi (Ruxsat berish).
Va endi har bir nuqta haqida bir oz ko'proq
o'quv
I. Birinchidan, barcha ehtiyojlarimiz uchun "Ob'ektlar" ni yarataylik (endi men veb-interfeys uchun jarayonni ko'rsataman, konsol bilan ishlaydiganlar harakatlarni konsol buyruqlariga o'tkazishlari mumkin deb o'ylayman).
1. Manzillar kitobiga ikkita ipv4 manzilini qo'shing:
veb-server = 192.168.0.2
umumiy veb-server = 5.255.255.11
2. Keyin xizmatlar ro'yxatiga portlarni qo'shamiz:
int_http = tcp: 8080
Port tcp: 80 deb nomlangan xizmatlar ro'yxatida allaqachon mavjud Http, ichida cheklov mavjud 2000 seanslarda chegarani sozlash mumkin.
OhIchki tarmoqqa server portini qo'shishning hojati yo'qligi ma'lum bo'ldi, lekin men uni qoldiraman, chunki... umumiy port uchun misol kerak bo'lishi mumkin, lekin ular xuddi shu tarzda qo'shiladi
II. Keling, to'g'ridan-to'g'ri yechimga o'taylik.
Paragraf 1 ΠΈ 2 birlashtirilishi mumkin, chunki Statik marshrutni qo'shganda, darhol ARP ni taqdim etish mumkin. Rostini aytsam, men bu imkoniyatni darhol ko'rmadim va nashrni qo'lda o'rnatdim, yo'riqnoma ham bunday funktsiyaga ega.
1. Shunday qilib, agar siz hali marshrutlash jadvallari va ular uchun qoidalar to'plamini yaratmagan bo'lsangiz, unda hamma narsani asosiy marshrutlash jadvalida bajarish mumkin, u deyiladi. asosiy.
Jadval asosiytarmoqqa standart yo'l bo'ladi 5.255.255.0/28 interfeys uchun wan1. Va Ushbu marshrut interfeys sozlamalarida ko'rsatilgan ko'rsatkichga mos keladi (sukut bo'yicha 100).
Shlyuz paketlarni interfeysga qaytarib yuborishining oldini olish uchun wan1, manzilga statik marshrut yaratishingiz kerak umumiy veb-server interfeysga asosiy metrik bilan kamroq 100 (kichikroq interfeys ko'rsatkichi wan1) - keyin shlyuz uni "o'z ichida" qidiradi.
2. U yerda marshrut yaratishda proksi ARP ni shlyuz ARP soβrovlariga javob beradigan tarzda sozlashingiz mumkin. Proksi ARP yorlig'ida WAN interfeysini qo'shing.
marshrut yarating, lekin OK tugmasini bosmang, ikkinchi Proksi ARP yorlig'iga o'ting:
ARP, interfeys qo'shing wan1:
3.Nihoyat, biz NAT va xavfsizlik devorini o'rnatishga o'tamiz (bu allaqachon batafsil tavsiflangan. ).
Biz paketda interfeysdan SAT qoidasini yaratamiz wan1 maqsad manzili bilan umumiy veb-server maqsad porti Http, biz interfeys uchun marshrutni sozladik asosiy, maqsad manzilini serverimizning ichki manzili bilan almashtiring veb-server va port yoqilgan 8080.
4. Va keyingi qadam bunday paketga ruxsat berishdir - shunga o'xshash parametrlarga ega Ruxsat berish qoidasini yarating (SAT qoidasini nusxalash va harakatni Allow bilan almashtirish qulay).
eslatmaBunday holda, qoidalar aynan shunday tartibda bo'lishi kerak: avval SAT, keyin ruxsat bering:
SAT qoidasi ruxsat etilgan qoidadan yuqori bo'lishi kerakligini unutmang. Buning sababi, paket ruxsat berish yoki rad etish qoidasiga tushib qolganda, "Qoidalar" jadvali bo'ylab o'tmaydi.
Bunday holda ruxsat berish qoidasi umumiy port va manzil uchun ham yaratiladi:
E'tibor bering, ruxsat berish qoidasidagi protokol, interfeys va tarmoq parametrlari "SAT" harakati bilan qoidadagi bilan bir xil.
Menimcha, paket SAT qoidasi bo'yicha bir qator oldin qayta ishlangan va maqsad manzili va porti yangi edi, lekin yo'q, almashtirish boshqa barcha qoidalar qayta ishlangandan keyin sodir bo'lganga o'xshaydi.
Π SAT ning funksionalligi chuqur ochib berilgan, u juda ko'p qiziqarli imkoniyatlarni taqdim etadi. Mening maqsadim ushbu yo'riqnomada va boshqa ko'rsatmalarda yoritilmagan masalani yoritish edi. Umid qilamanki, ko'rsatmalar foydali va tushunarli bo'ladi.
Manba: www.habr.com