我有一个任务 - 在 D-Link DFL 路由器上以未绑定到 wan 接口的 IP 地址发布服务。 但我在网上找不到可以解决这个问题的说明,所以我自己写了一个。
初始数据(以所有地址为例)
Web 服务器位于内网 IP 上: 192.168.0.2 (港口 8080).
提供商分配的外部白地址池:
让地址 5.255.255.2-10 我们用它来满足 NAT 和其他需求。 提供商链接已连接到端口 wan1。 至界面 wan1 地址链接 5.255.255.2.
任务:将内部Web服务器发布到公共地址 5.255.255.11,在港口 80.
解决方案很简短
要在与接口地址不对应的 IP 上发布服务,您需要:
- 指示路由器应使用内部搜索发布的IP
路由表 . - 发布
ARP 以便路由器向邻居响应发布的地址属于它。 - 防火墙规则(
SAT ),路由器内部会将目标地址更改为最终服务器的地址。 - 防火墙规则(允许),这将允许从外部接口到路由器内部发布的地址的连接
现在详细介绍一下每一点
训练
I. 首先,让我们创建满足我们所有需求的“对象”(现在我将展示 Web 界面的过程,我认为那些使用控制台的人将能够将操作转移到控制台命令)。
1. 将两个ipv4地址添加到地址簿中:
web服务器 = 192.168.0.2
公共网络服务器 = 5.255.255.11
2. 然后我们将端口添加到服务列表中:
int_http = TCP:8080
港口 TCP:80 已存在于服务列表中,称为 HTTP,有一个限制 2000 会话数,限制可以调整。
哦原来是不需要在内网添加服务器端口,但是我留下了,因为…… 公共端口可能需要一个示例,但它们以相同的方式添加
二。 让我们直接进入解决方案。
项目 1 и 2 可以合并,因为添加静态路由后,可以立即提供ARP。 说实话,我并没有立即看到这个机会并手动设置发布;路由器也有这样的功能。
1.所以,如果你还没有为它们创建一堆路由表和规则,那么一切都可以在主路由表中完成,这就是所谓的 主.
桌子 主将有一个默认的网络路径 5.255.255.0/28 每个接口 wan1。 和
防止网关将数据包发送回接口 wan1,您需要创建到该地址的静态路由 公共网络服务器 到界面 核心 少公制 100 (较小的接口指标 wan1) - 那么网关将在“自身内部”寻找它。
2. 在那里,创建路由时,可以配置代理ARP,以便网关响应ARP 请求。 在代理 ARP 选项卡上,添加 WAN 接口。
创建路由,但不要单击“确定”,而是转到第二个“代理 ARP”选项卡:
ARP,添加接口 wan1:
3.最后,我们继续设置 NAT 和防火墙(这已经在
我们创建一条 SAT 规则,以便在来自接口的数据包中 wan1 带有目的地地址 公共网络服务器 抵达港口 HTTP,我们已经为该接口配置了一条路由 核心,将目标地址替换为我们服务器的内部地址 web服务器 并端口 8080.
4. 下一步是允许这样的数据包 - 创建具有类似参数的允许规则(复制 SAT 规则并将操作替换为允许很方便)。
备注在这种情况下,规则应严格按照以下顺序排列:首先是 SAT,然后是允许:
请记住,SAT 规则必须高于允许规则。 这是因为,当数据包落入允许或拒绝规则时,不会进一步通过“规则”表。
在这种情况下,还为公共端口和地址创建允许规则:
请注意,允许规则中的协议、接口和网络参数与具有“SAT”操作的规则中的相同。
在我看来,该数据包已经在前一行被 SAT 规则处理过,并且目标地址和端口是新的,但不是,似乎替换发生在处理所有其他规则之后的某个时间。
В
来源: habr.com