J'avais une tâche - publier le service sur le routeur D-Link DFL avec une adresse IP qui n'est pas liée à une interface WAN. Mais sur Internet, je n'ai pas trouvé d'instructions qui pourraient résoudre ce problème, j'ai donc écrit les miennes.
Données source (toutes les adresses sont prises comme exemple)
Serveur Web sur le réseau interne avec Ip:
192.168.0.2 (port
8080 ).
Le pool d'adresses blanches externes allouées par le fournisseur:
5.255.255.0/28 , la passerelle du fournisseur:
5.255.255.1 , les autres "nos" adresses sont
5.255.255.2-14 .
Soit les adresses
5.255.255.2-10 que nous utilisons sous NAT et autres besoins. Le lien du fournisseur est connecté au port
wan1 . L'adresse
5.255.255.2 est liée à l'
interface wan1 .
Tâche: publier le serveur Web interne à l'adresse publique
5.255.255.11 , sur le port
80 .
Solution brièvement
Pour publier le service sur ip qui ne correspond pas à l'adresse d'interface, vous aurez besoin de:
- Indiquez au routeur que l'IP publiée doit être recherchée à l'intérieur, en utilisant des tables de routage .
- Publiez ARP pour que le routeur informe les voisins que l'adresse publiée lui appartient.
- La règle de pare-feu ( SAT ), qui à l'intérieur du routeur changera l'adresse de destination en l'adresse du serveur de destination.
- Pare-feu de règle (Autoriser), qui permettra une connexion de l'interface externe à l'adresse publiée à l'intérieur du routeur
Et maintenant un peu plus sur chaque article
La préparationI. Premièrement, nous allons créer des «objets» pour tous nos besoins (maintenant je vais montrer le processus pour l'interface web, je pense que ceux qui travaillent avec la console pourront transférer des actions aux commandes de la console).
1. Ajoutez deux adresses ipv4 au carnet d'adresses:
serveur Web =
192.168.0.2serveur Web public =
5.255.255.11
2. Ajoutez ensuite les ports à la liste des services:
int_http =
tcp: 8080
Le port
tcp: 80 est déjà dans la liste des services, appelé
http , il a une limite de
2000 sessions, la limite peut être ajustée.
ohIl s'est avéré que l'ajout du port du serveur sur le réseau interne n'est pas nécessaire du tout, mais je le laisse, car un exemple peut être nécessaire pour un port public, mais ils sont ajoutés également
II. Nous procédons directement à la solution.
Les points
1 et
2 peuvent être combinés, car lors de l'ajout d'une route statique, il est possible de fournir immédiatement ARP.
Honnêtement, je n'ai pas immédiatement vu cette opportunité et configuré la publication manuellement, le routeur a également une telle fonctionnalité.1. Donc, si vous n'avez pas encore créé de tas de tables de routage et de règles pour eux, alors tout peut être fait dans la table de routage principale, elle s'appelle
main .
Le tableau
principal sera par défaut le chemin d'accès au réseau
5.255.255.0/28 sur l'interface
wan1 . Et la
métrique de cette route correspond à la métrique spécifiée dans les paramètres d'interface (
100 par défaut).
Pour que la passerelle ne renvoie pas de paquets à l'interface
wan1 , vous devez créer une route statique vers l'adresse du
serveur Web public dans l'interface
principale avec une métrique inférieure à
100 (inférieure à la
métrique de l' interface
wan1 ) - la passerelle la recherchera "à l'intérieur d'elle-même".
2. Au même endroit, lors de la création d'un itinéraire, vous pouvez configurer Proxy ARP pour que la passerelle réponde aux requêtes ARP. Dans l'onglet Proxy ARP, ajoutez l'interface WAN.
créez un itinéraire, mais ne cliquez pas sur OK et accédez au deuxième onglet de Proxy ARP:
ARP, ajoutez l'interface
wan1 :
3.Enfin, nous passons aux paramètres NAT et pare-feu (cela est déjà décrit suffisamment en détail dans les
instructions sur le site Web dlink.ua ).
Nous créons la règle SAT de sorte que dans le paquet de l'interface
wan1 avec l'adresse de destination
public-web-server, le port de destination soit
http , auquel nous avons configuré la route vers l'interface
principale , remplacez l'adresse de destination par l'adresse interne de notre
serveur Web et le port à
8080 .
4. Et l'étape suivante consiste à activer un tel package - créez une règle Allow avec des paramètres similaires (il est pratique de copier la règle SAT et de remplacer l'action par Allow).
une noteDans ce cas, les règles doivent être dans cet ordre: d'abord SAT, puis Autoriser:
N'oubliez pas que la règle SAT doit être supérieure à la règle d'autorisation. Cela est dû au fait qu'un paquet, tombant dans une règle d'autorisation ou de refus, ne va pas plus loin dans le tableau «Rules».
dlink.uaDans ce cas, la règle d'autorisation est également créée pour le port et l'adresse publics:
notez que les paramètres du protocole, des interfaces et des réseaux dans la règle d'activation sont les mêmes que dans la règle avec l'action «SAT».
Il m'a semblé que le paquet avait déjà été traité par la règle SAT une ligne plus tôt, et l'adresse de destination et le port sont nouveaux, mais non, il semble que le remplacement se produise quelque temps après que toutes les autres règles ont été élaborées.
Dans les
instructions de D-link, la fonctionnalité de SAT est profondément divulguée; elle présente de nombreuses fonctionnalités intéressantes. Mon objectif était de découvrir une question non couverte dans cette instruction et dans d'autres instructions. J'espère que l'instruction sera utile et compréhensible.