我有一個任務 - 在 D-Link DFL 路由器上以未綁定到 wan 介面的 IP 位址發布服務。 但我在網路上找不到可以解決這個問題的說明,所以我自己寫了一個。
初始資料(以所有位址為例)
Web 伺服器位於內網 IP 上: 192.168.0.2 (港口 8080).
提供者分配的外部白位址池: ,提供者網關: 5.255.255.1,剩餘的「我們的」地址 5.255.255.2-14.
讓地址 5.255.255.2-10 我們用它來滿足 NAT 和其他需求。 提供者連結已連接到端口 灣1。 至介面 灣1 地址連結 5.255.255.2.
任務:將內部Web伺服器發佈到公用位址 5.255.255.11,在港口 80.
解決方案很簡短
若要在與介面位址不對應的 IP 上發布服務,您需要:
- 指示路由器應使用內部搜尋發布的IP .
- 發布 以便路由器向鄰居回應發布的位址屬於它。
- 防火牆規則(),路由器內部會將目標位址變更為最終伺服器的位址。
- 防火牆規則(允許),這將允許從外部介面到路由器內部發布的位址的連接
現在詳細介紹一下每一點
訓練
I. 首先,讓我們建立滿足我們所有需求的「物件」(現在我將展示 Web 介面的過程,我認為使用控制台的人將能夠將操作轉移到控制台命令)。
1. 將兩個ipv4位址加入地址簿:
網絡服務器 = 192.168.0.2
公共網路伺服器 = 5.255.255.11
2. 然後我們將連接埠新增到服務列表中:
int_http = TCP:8080
港口 TCP:80 已存在於服務清單中,稱為 HTTP,有一個限制 2000 會話數,限制可以調整。
哦原來是不需要在內網添加伺服器端口,但是我留下了,因為… 公共連接埠可能需要一個範例,但它們以相同的方式添加
二。 讓我們直接進入解決方案。
段落 1 и 2 可以合併,因為新增靜態路由後,可以立即提供ARP。 說實話,我並沒有立即看到這個機會並手動設定發布;路由器也有這樣的功能。
1.所以,如果你還沒有為它們創建一堆路由表和規則,那麼一切都可以在主路由表中完成,這就是所謂的 主.
桌子 主將有一個預設的網路路徑 5.255.255.0/28 每個接口 灣1。 和 此路由的路由與介面設定中指定的度量相符(預設情況下 100).
防止網關將封包傳送回接口 灣1,您需要建立到該位址的靜態路由 公共網路伺服器 到介面 核心 少公制 100 (較小的介面指標 灣1) - 那麼網關將在「自身內部」尋找它。
2. 在那裡,在建立路由時,可以設定代理ARP,以便網關回應ARP 請求。 在代理 ARP 標籤上,新增 WAN 介面。
建立路由,但不要按一下“確定”,而是轉到第二個“代理 ARP”標籤:
ARP,新增介面 灣1:
3.最後,我們繼續設定 NAT 和防火牆(這已經在 ).
我們建立一條 SAT 規則,以便在來自介面的資料包中 灣1 帶有目的地地址 公共網路伺服器 抵達港口 HTTP,我們已經為該介面配置了一則路由 核心,將目標位址替換為我們伺服器的內部位址 網絡服務器 並端口 8080.
4. 下一步是允許這樣的資料包 - 建立具有類似參數的允許規則(複製 SAT 規則並將操作替換為允許很方便)。
筆記在這種情況下,規則應嚴格按照以下順序排列:首先是 SAT,然後是允許:
請記住,SAT 規則必須高於允許規則。 這是因為,當封包落入允許或拒絕規則時,不會進一步通過「規則」表。
在這種情況下,也為公共連接埠和位址建立允許規則:
請注意,允許規則中的協定、介面和網路參數與具有「SAT」操作的規則中的相同。
在我看來,該封包已經在前一行被 SAT 規則處理過,並且目標位址和連接埠是新的,但不是,似乎替換發生在處理所有其他規則之後的某個時間。
В SAT 的功能被深入揭示;它提供了許多有趣的可能性。 我的目標是解決本說明和其他說明中未涵蓋的問題。 我希望這些說明有用且易於理解。
來源: www.habr.com