Tôi có một nhiệm vụ - xuất bản một dịch vụ trên bộ định tuyến D-Link DFL tại một địa chỉ IP không bị ràng buộc với giao diện wan. Nhưng tôi không thể tìm thấy hướng dẫn trên Internet có thể giải quyết vấn đề này, vì vậy tôi đã tự viết.
Dữ liệu ban đầu (tất cả các địa chỉ được lấy làm ví dụ)
Máy chủ web trên mạng nội bộ có IP: 192.168.0.2 (Hải cảng 8080).
Nhóm địa chỉ trắng bên ngoài do nhà cung cấp phân bổ: , cổng nhà cung cấp: 5.255.255.1, các địa chỉ “của chúng tôi” còn lại 5.255.255.2-14.
Hãy để các địa chỉ 5.255.255.2-10 chúng tôi sử dụng nó cho NAT và các nhu cầu khác. Liên kết nhà cung cấp được kết nối với cổng Wan1. Để giao tiếp Wan1 địa chỉ liên kết 5.255.255.2.
Nhiệm vụ: xuất bản máy chủ web nội bộ lên địa chỉ công cộng 5.255.255.11, tại cảng 80.
Giải pháp là ngắn gọn
Để xuất bản một dịch vụ trên IP không tương ứng với địa chỉ giao diện, bạn sẽ cần:
- Cho bộ định tuyến biết rằng ip đã xuất bản phải được tìm kiếm nội bộ bằng cách sử dụng .
- Xuất bản để bộ định tuyến phản hồi với hàng xóm rằng địa chỉ được công bố thuộc về nó.
- quy tắc tường lửa (), bên trong bộ định tuyến sẽ thay đổi địa chỉ đích thành địa chỉ của máy chủ cuối cùng.
- Quy tắc tường lửa (Cho phép), sẽ cho phép kết nối từ giao diện bên ngoài đến địa chỉ được xuất bản bên trong bộ định tuyến
Và bây giờ nói thêm một chút về từng điểm
Đào tạo
I. Trước tiên, hãy tạo “Đối tượng” cho tất cả các nhu cầu của chúng ta (bây giờ tôi sẽ hiển thị quy trình cho giao diện web, tôi nghĩ những người làm việc với bảng điều khiển sẽ có thể chuyển các hành động sang các lệnh của bảng điều khiển).
1. Thêm hai địa chỉ ipv4 vào sổ địa chỉ:
máy chủ web = 192.168.0.2
máy chủ web công cộng = 5.255.255.11
2. Sau đó, chúng tôi thêm cổng vào danh sách dịch vụ:
int_http = tcp:8080
Cảng tcp:80 đã có mặt trong danh sách dịch vụ, được gọi là http, có hạn chế ở 2000 phiên, giới hạn có thể được điều chỉnh.
ồHóa ra không cần thêm cổng máy chủ vào mạng nội bộ mà bỏ đi vì... một ví dụ có thể cần thiết cho một cổng công cộng, nhưng chúng được thêm vào theo cách tương tự
II. Hãy chuyển trực tiếp đến giải pháp.
Đoạn văn 1 и 2 có thể được kết hợp, bởi vì Khi thêm tuyến tĩnh, có thể cung cấp ngay ARP. Thành thật mà nói, tôi đã không nhìn thấy ngay cơ hội này và thiết lập ấn phẩm theo cách thủ công, bộ định tuyến cũng có chức năng như vậy.
1. Vì vậy, nếu bạn chưa tạo một loạt các bảng định tuyến và quy tắc cho chúng thì mọi việc có thể được thực hiện trong bảng định tuyến chính, nó được gọi là chính.
Bàn chínhsẽ có một đường dẫn mặc định vào mạng 5.255.255.0/28 mỗi giao diện Wan1. И của tuyến đường này khớp với số liệu được chỉ định trong cài đặt giao diện (theo mặc định 100).
Để ngăn cổng gửi gói trở lại giao diện Wan1, bạn cần tạo một tuyến tĩnh đến địa chỉ máy chủ web công cộng đến giao diện cốt lõi với số liệu ít hơn 100 (số liệu giao diện nhỏ hơn Wan1) - sau đó cổng sẽ tìm kiếm nó “bên trong chính nó”.
2. Ở đó, khi tạo tuyến đường, bạn có thể định cấu hình Proxy ARP để cổng phản hồi các yêu cầu ARP. Trên tab Proxy ARP, thêm giao diện WAN.
tạo một tuyến đường, nhưng không nhấp vào OK mà chuyển đến tab Proxy ARP thứ hai:
ARP, thêm giao diện Wan1:
3.Cuối cùng, chúng ta chuyển sang thiết lập NAT và tường lửa (điều này đã được mô tả đầy đủ chi tiết trong ).
Chúng ta tạo quy tắc SAT để trong gói tin từ giao diện Wan1 với địa chỉ đích máy chủ web công cộng cảng đích http, mà chúng tôi đã định cấu hình tuyến đường cho giao diện cốt lõi, thay thế địa chỉ đích bằng địa chỉ nội bộ của máy chủ của chúng tôi máy chủ web và bật cổng 8080.
4. Và bước tiếp theo là cho phép một gói như vậy - tạo quy tắc Cho phép với các tham số tương tự (rất thuận tiện để sao chép quy tắc SAT và thay thế hành động bằng Cho phép).
một ghi chúTrong trường hợp này, các quy tắc phải theo đúng thứ tự sau: đầu tiên là SAT, sau đó là Cho phép:
Hãy nhớ rằng quy tắc SAT phải cao hơn quy tắc cho phép. Điều này là do thực tế là một gói, khi rơi vào quy tắc cho phép hoặc từ chối, sẽ không đi sâu hơn qua bảng “Quy tắc”.
Trong trường hợp này, quy tắc cho phép cũng được tạo cho cổng và địa chỉ công cộng:
Xin lưu ý rằng các tham số giao thức, giao diện và mạng trong quy tắc cho phép giống như trong quy tắc với hành động “SAT”.
Đối với tôi, có vẻ như gói tin đã được xử lý theo quy tắc SAT một dòng trước đó, địa chỉ đích và cổng là mới, nhưng không, có vẻ như việc thay thế xảy ra đôi khi sau khi tất cả các quy tắc khác đã được xử lý.
В Chức năng của SAT được bộc lộ sâu sắc, nó mang lại nhiều khả năng thú vị. Mục tiêu của tôi là giải quyết một vấn đề chưa được đề cập trong hướng dẫn này và các hướng dẫn khác. Tôi hy vọng các hướng dẫn sẽ hữu ích và dễ hiểu.
Nguồn: www.habr.com