كان لدي مهمة - لنشر الخدمة على جهاز التوجيه DL Link DFL بعنوان IP غير مرتبط بواجهة الشبكة الواسعة. لكن على الإنترنت لم أجد تعليمات من شأنها أن تحل هذه المشكلة ، لذلك كتبت لي.
مصدر البيانات (تؤخذ جميع العناوين كمثال)
خادم الويب على الشبكة الداخلية مع Ip:
192.168.0.2 (المنفذ
8080 ).
مجموعة العناوين البيضاء الخارجية التي خصصها المزود:
5.255.255.0/28 ، بوابة المزود:
5.255.255.1 ، عناوين "our" المتبقية هي
5.255.255.2-14 .
دع العناوين
5.255.255.2-10 التي نستخدمها تحت NAT وغيرها من الاحتياجات. رابط المزود متصل بمنفذ
wan1 . العنوان
5.255.255.2 مرتبط
بواجهة wan1 .
المهمة: نشر خادم الويب الداخلي على العنوان العام
5.255.255.11 ، على المنفذ
80 .
الحل لفترة وجيزة
لنشر الخدمة على عنوان IP غير مطابق لعنوان الواجهة ، ستحتاج إلى:
- اذكر للموجه أن بروتوكول IP المنشور يحتاج إلى البحث فيه ، وذلك باستخدام جداول التوجيه .
- قم بنشر ARP حتى يخبر الموجه الجيران بأن العنوان المنشور ينتمي إليه.
- قاعدة جدار الحماية ( SAT ) ، والتي داخل الموجه ستغير عنوان الوجهة إلى عنوان الخادم الوجهة.
- جدار الحماية القاعدة (السماح) ، والذي سوف يسمح بالاتصال من الواجهة الخارجية إلى العنوان المنشور داخل جهاز التوجيه
والآن أكثر قليلاً عن كل عنصر
تدريب1. أولاً ، سننشئ "كائنات" لجميع احتياجاتنا (الآن سأعرض العملية لواجهة الويب ، وأعتقد أن أولئك الذين يعملون مع وحدة التحكم سيكونون قادرين على نقل الإجراءات إلى أوامر وحدة التحكم).
1. أضف عنوانين ipv4 إلى دفتر العناوين:
خادم الويب =
192.168.0.2خادم الويب العام =
5.255.255.11
2. ثم أضف المنافذ إلى قائمة الخدمات:
int_http =
tcp: 8080
tcp: 80 منفذ موجود بالفعل في قائمة الخدمات ، يسمى
http ، له حد
2000 جلسة ، يمكن ضبط الحد.
يااتضح أن إضافة منفذ الخادم على الشبكة الداخلية ليست ضرورية على الإطلاق ، لكنني أتركها ، لأن قد تكون هناك حاجة إلى مثال لمنفذ عام ، ولكن يتم إضافتها على قدم المساواة
II. ننتقل مباشرة إلى الحل.
يمكن الجمع بين النقطة
1 و
2 ، لأن عند إضافة مسار ثابت ، من الممكن توفير ARP على الفور.
بصراحة ، لم أر هذه الفرصة على الفور وقمت بإعداد المنشور يدويًا ، كما أن جهاز التوجيه لديه مثل هذه الوظيفة.1. إذا لم تقم بعد بإنشاء أكوام من جداول التوجيه وقواعدها ، فيمكن القيام بكل شيء في جدول التوجيه الرئيسي ، ويطلق عليه اسم
الرئيسي .
سوف الجدول
الرئيسي الافتراضي للمسار إلى الشبكة
5.255.255.0/28 على واجهة
wan1 . ويتطابق
مقياس هذا المسار مع المقياس المحدد في إعدادات الواجهة (
100 افتراضيًا).
لكي لا تقوم البوابة بإعادة إرسال الحزم مرة أخرى إلى واجهة
wan1 ، تحتاج إلى إنشاء مسار ثابت لعنوان
خادم الويب العام في الواجهة
الأساسية بمقياس أقل من
100 (أقل من
مقياس واجهة
wan1 ) - ثم تبحث البوابة عن ذلك "بداخلها".
2. في نفس المكان ، عند إنشاء مسار ، يمكنك تكوين Proxy ARP بحيث تستجيب البوابة لطلبات ARP. في علامة التبويب وكيل ARP ، أضف واجهة WAN.
قم بإنشاء مسار ، ولكن لا تنقر فوق "موافق" ، وانتقل إلى علامة التبويب الثانية من Proxy ARP:
ARP ، أضف واجهة
wan1 :
3. أخيرًا ، ننتقل إلى إعدادات NAT وجدار الحماية (هذا موصوف بالفعل بالتفصيل الكافي في
الإرشادات الموجودة على موقع dlink.ua ).
نقوم بإنشاء قاعدة SAT بحيث في حزمة من واجهة
wan1 مع
خادم الويب العام لعنوان الوجهة
، يكون منفذ الوجهة هو
http ، حيث قمنا بتهيئة الطريق إلى الواجهة
الأساسية ، واستبدال عنوان الوجهة بعنوان داخلي
لخادم خادم الويب الخاص بنا والمنفذ في
8080 .
4. والخطوة التالية هي تمكين مثل هذه الحزمة - إنشاء قاعدة السماح باستخدام معلمات مماثلة (من المريح نسخ قاعدة SAT واستبدال الإجراء بـ Allow).
ملاحظةفي هذه الحالة ، يجب أن تكون القواعد بهذا الترتيب: أولاً SAT ، ثم السماح:
تذكر أن قاعدة SAT يجب أن تكون أعلى من قاعدة السماح. ويرجع ذلك إلى حقيقة أن الرزمة ، التي تقع في قاعدة السماح أو الرفض ، لا تذهب أبعد من ذلك على طول جدول "القواعد".
dlink.uaفي هذه الحالة ، يتم أيضًا إنشاء قاعدة السماح للمنفذ والعنوان العام:
لاحظ أن معلمات البروتوكول ، والواجهات ، والشبكات في القاعدة التمكينية هي نفسها كما في القاعدة مع إجراء "SAT".
يبدو لي أن الحزمة قد تمت معالجتها بالفعل بواسطة قاعدة SAT بسطر سابقًا ، وأن عنوان الوجهة والمنفذ جديدان ، لكن لا ، يبدو أن الاستبدال يحدث في وقت ما بعد أن تم حل جميع القواعد الأخرى.
في
تعليمات من D-link ، يتم الكشف عن وظيفة SAT بعمق ؛ فهي تقدم العديد من الميزات المثيرة للاهتمام. كان هدفي هو كشف سؤال لم تتم تغطيته في هذه التعليمات وفي تعليمات أخرى. آمل أن تكون التعليمات مفيدة ومفهومة.