Ich hatte die Aufgabe, den Dienst auf dem D-Link DFL-Router mit einer IP-Adresse zu veröffentlichen, die nicht an eine WAN-Schnittstelle gebunden ist. Aber im Internet habe ich keine Anweisungen gefunden, die dieses Problem lösen könnten, also habe ich meine eigenen geschrieben.
Quelldaten (alle Adressen werden als Beispiel genommen)
Webserver im internen Netzwerk mit IP:
192.168.0.2 (Port
8080 ).
Der vom Anbieter zugewiesene Pool externer weißer Adressen:
5.255.255.0/28 , das Gateway des Anbieters:
5.255.255.1 , die verbleibenden "unsere" Adressen sind
5.255.255.2-14 .
Lassen Sie die Adressen
5.255.255.2-10, die wir unter NAT und anderen Anforderungen verwenden. Die Verbindung des Anbieters ist mit dem
wan1- Port verbunden. Die Adresse
5.255.255.2 ist an die
wan1-Schnittstelle gebunden.
Aufgabe: Veröffentlichen Sie den internen Webserver unter der öffentlichen Adresse
5.255.255.11 auf Port
80 .
Lösung kurz
Um den Dienst auf einer IP zu veröffentlichen, die nicht mit der Schnittstellenadresse übereinstimmt, benötigen Sie:
- Geben Sie dem Router an, dass die veröffentlichte IP-Adresse mithilfe von Routing-Tabellen durchsucht werden muss .
- Veröffentlichen Sie ARP so, dass der Router den Nachbarn mitteilt, dass die veröffentlichte Adresse dazu gehört.
- Die Firewall-Regel ( SAT ), die im Router die Zieladresse in die Adresse des Zielservers ändert.
- Regel-Firewall (Zulassen), die eine Verbindung von der externen Schnittstelle zur veröffentlichten Adresse im Router ermöglicht
Und jetzt ein bisschen mehr zu jedem Artikel
VorbereitungI. Zuerst werden wir "Objekte" für alle unsere Anforderungen erstellen (jetzt werde ich den Prozess für die Weboberfläche zeigen. Ich denke, diejenigen, die mit der Konsole arbeiten, können Aktionen auf Konsolenbefehle übertragen).
1. Fügen Sie dem Adressbuch zwei IPv4-Adressen hinzu:
Webserver =
192.168.0.2public-web-server =
5.255.255.11
2. Fügen Sie dann die Ports zur Liste der Dienste hinzu:
int_http =
tcp: 8080
Der
tcp: 80- Port befindet sich bereits in der Liste der Dienste mit dem Namen
http . Er hat ein Limit von
2000 Sitzungen. Das Limit kann angepasst werden.
ohEs stellte sich heraus, dass das Hinzufügen des Server-Ports im internen Netzwerk überhaupt nicht erforderlich ist, aber ich lasse es, weil Für einen öffentlichen Hafen wird möglicherweise ein Beispiel benötigt, das jedoch gleichermaßen hinzugefügt wird
II. Wir fahren direkt mit der Lösung fort.
Punkt
1 und
2 können kombiniert werden, weil Beim Hinzufügen einer statischen Route kann ARP sofort bereitgestellt werden.
Ehrlich gesagt habe ich diese Gelegenheit nicht sofort erkannt und die Veröffentlichung manuell eingerichtet. Der Router verfügt auch über solche Funktionen.1. Wenn Sie also noch keine Haufen von Routing-Tabellen und -Regeln für diese erstellt haben, kann alles in der Haupt-Routing-Tabelle ausgeführt werden, die als
main bezeichnet wird .
In der Haupttabelle wird standardmäßig der Pfad zum Netzwerk
5.255.255.0/28 auf der
wan1- Schnittstelle verwendet. Die
Metrik dieser Route entspricht der in den Schnittstelleneinstellungen angegebenen Metrik (standardmäßig
100 ).
Damit das Gateway keine Pakete an die
wan1- Schnittstelle
zurücksendet , müssen Sie eine statische Route zur Adresse des
öffentlichen Webservers in der
Kernschnittstelle mit einer Metrik von weniger als
100 (weniger als die
Metrik der
wan1- Schnittstelle) erstellen. Dann sucht das Gateway „in sich selbst“ danach.
2. An derselben Stelle können Sie beim Erstellen einer Route Proxy-ARP so konfigurieren, dass das Gateway auf ARP-Anforderungen reagiert. Fügen Sie auf der Registerkarte Proxy-ARP die WAN-Schnittstelle hinzu.
Erstellen Sie eine Route, klicken Sie jedoch nicht auf OK, und wechseln Sie zur zweiten Registerkarte von Proxy ARP:
ARP, fügen Sie die
wan1- Schnittstelle hinzu:
3. Schließlich gehen wir zu den NAT- und Firewall-Einstellungen über (dies ist bereits in den
Anweisungen auf der Website dlink.ua ausführlich beschrieben).
Wir erstellen die SAT-Regel so, dass im Paket von der
wan1- Schnittstelle mit der Zieladresse
public-web-server der
Zielport http ist , zu dem wir die Route zur
Kernschnittstelle konfiguriert haben. Ersetzen Sie die Zieladresse durch die interne Adresse unseres
Webserverservers und den Port bei
8080 .
4. Und der nächste Schritt besteht darin, ein solches Paket zu aktivieren - eine Zulassungsregel mit ähnlichen Parametern zu erstellen (es ist praktisch, die SAT-Regel zu kopieren und die Aktion durch Zulassen zu ersetzen).
eine NotizIn diesem Fall sollten die Regeln in dieser Reihenfolge sein: zuerst SAT, dann Zulassen:
Denken Sie daran, dass die SAT-Regel höher sein muss als die Zulassungsregel. Dies liegt an der Tatsache, dass ein Paket, das in eine Zulassungs- oder Verweigerungsregel fällt, nicht weiter entlang der Tabelle "Regeln" geht.
dlink.uaIn diesem Fall wird die Zulassungsregel auch für den öffentlichen Port und die Adresse erstellt:
Beachten Sie, dass die Parameter des Protokolls, der Schnittstellen und Netzwerke in der Aktivierungsregel dieselben sind wie in der Regel mit der Aktion "SAT".
Es schien mir, dass das Paket bereits eine Zeile früher von der SAT-Regel verarbeitet wurde und die Zieladresse und der Port neu sind, aber nein, es scheint, dass die Ersetzung irgendwann erfolgt, nachdem alle anderen Regeln ausgearbeitet wurden.
In den
Anweisungen von D-Link wird die Funktionalität von SAT ausführlich beschrieben und bietet viele interessante Funktionen. Mein Ziel war es, eine Frage aufzudecken, die in dieser Anweisung und in anderen Anweisungen nicht behandelt wird. Ich hoffe, die Anleitung wird nützlich und verständlich sein.