Saya punya tugas - untuk mempublikasikan layanan pada router D-Link DFL dengan alamat IP yang tidak terikat dengan antarmuka yang lemah. Tetapi di Internet saya tidak menemukan instruksi yang akan menyelesaikan masalah ini, jadi saya menulis sendiri.
Sumber data (semua alamat diambil sebagai contoh)
Server web di jaringan internal dengan Ip:
192.168.0.2 (port
8080 ).
Kumpulan alamat putih eksternal yang dialokasikan oleh penyedia:
5.255.255.0/28 , gateway dari penyedia:
5.255.255.1 , alamat "kami" yang
tersisa adalah
5.255.255.2-14 .
Biarkan alamat
5.255.255.2-10 kami gunakan di bawah NAT dan kebutuhan lainnya. Tautan penyedia terhubung ke port
wan1 . Alamat
5.255.255.2 terikat ke
antarmuka Wan1 .
Tugas: menerbitkan server web internal di alamat publik
5.255.255.11 , pada port
80 .
Solusi singkat
Untuk menerbitkan layanan pada ip yang tidak cocok dengan alamat antarmuka, Anda perlu:
- Tunjukkan ke router bahwa ip yang diterbitkan perlu dicari di dalam, menggunakan tabel routing .
- Publikasikan ARP sehingga router memberi tahu tetangga bahwa alamat yang diterbitkan adalah miliknya.
- Aturan firewall ( SAT ), yang di dalam router akan mengubah alamat tujuan menjadi alamat server tujuan.
- Aturan firewall (Izinkan), yang akan memungkinkan koneksi dari antarmuka eksternal ke alamat yang diterbitkan di dalam router
Dan sekarang sedikit lebih banyak tentang setiap item
PersiapanI. Pertama, kita akan membuat "Objek" untuk semua kebutuhan kita (sekarang saya akan menunjukkan proses untuk antarmuka web, saya pikir mereka yang bekerja dengan konsol akan dapat mentransfer tindakan ke perintah konsol).
1. Tambahkan dua alamat ipv4 ke buku alamat:
web-server =
192.168.0.2public-web-server =
5.255.255.11
2. Kemudian tambahkan port ke daftar layanan:
int_http =
tcp: 8080
Port
tcp: 80 sudah ada dalam daftar layanan, disebut
http , ia memiliki batas
2000 sesi, batasnya dapat disesuaikan.
ohTernyata menambahkan port server pada jaringan internal tidak perlu sama sekali, tapi saya tinggalkan, karena sebuah contoh mungkin diperlukan untuk pelabuhan publik, tetapi mereka ditambahkan secara merata
II Kami melanjutkan langsung ke solusinya.
Poin
1 dan
2 dapat digabungkan, karena saat menambahkan rute statis, dimungkinkan untuk segera menyediakan ARP.
Sejujurnya, saya tidak segera melihat peluang ini dan mengatur publikasi secara manual, router juga memiliki fungsi seperti itu.1. Jadi, jika Anda belum membuat banyak tabel routing dan aturan untuk mereka, maka semuanya dapat dilakukan di tabel routing utama, itu disebut
main .
Tabel
utama akan default ke jalur ke jaringan
5.255.255.0/28 pada antarmuka
Wan1 . Dan
metrik rute ini cocok dengan metrik yang ditentukan dalam pengaturan antarmuka (
100 secara default).
Agar gateway tidak mengirim paket kembali ke antarmuka
wan1 , Anda perlu membuat rute statis ke alamat
server web publik di antarmuka
inti dengan metrik kurang dari
100 (kurang dari
metrik antarmuka
wan1 ) - maka gateway akan mencarinya "di dalam dirinya sendiri".
2. Di tempat yang sama, saat membuat rute, Anda dapat mengonfigurasi Proxy ARP sehingga gateway merespons permintaan ARP. Pada tab Proxy ARP, tambahkan antarmuka WAN.
buat rute, tetapi jangan klik OK, dan buka tab kedua Proxy ARP:
ARP, tambahkan antarmuka
Wan1 :
3. Akhirnya, kita beralih ke pengaturan NAT dan firewall (ini sudah dijelaskan secara cukup rinci dalam
instruksi di situs web dlink.ua ).
Kami membuat aturan SAT sehingga dalam paket dari antarmuka
wan1 dengan alamat tujuan
public-web-server, port tujuan adalah
http , yang kami konfigurasikan rute ke antarmuka
inti , ganti alamat tujuan dengan alamat internal
server server kami dan port di
8080 .
4. Dan langkah selanjutnya adalah mengaktifkan paket seperti itu - buat aturan Allow dengan parameter serupa (lebih mudah untuk menyalin aturan SAT dan ganti tindakan dengan Allow).
sebuah catatanDalam hal ini, aturannya harus dalam urutan ini: pertama SAT, lalu Izinkan:
Ingat bahwa aturan SAT harus lebih tinggi dari aturan yang diizinkan. Hal ini disebabkan oleh fakta bahwa suatu paket, yang jatuh ke dalam aturan allow atau deny, tidak melangkah lebih jauh di sepanjang tabel βRulesβ.
dlink.uaDalam hal ini, aturan perbolehkan juga dibuat untuk port dan alamat publik:
perhatikan bahwa parameter protokol, antarmuka, dan jaringan dalam aturan yang memungkinkan sama dengan aturan pada tindakan "SAT".
Tampaknya bagi saya bahwa paket sudah diproses oleh aturan SAT garis sebelumnya, dan alamat tujuan dan port baru, tetapi tidak, tampaknya penggantian terjadi beberapa saat setelah semua aturan lain telah dikerjakan.
Dalam
instruksi dari D-link, fungsionalitas SAT diungkapkan secara mendalam, ia menghadirkan banyak fitur menarik. Tujuan saya adalah mengungkap pertanyaan yang tidak tercakup dalam instruksi ini dan instruksi lainnya. Saya berharap instruksi ini bermanfaat dan dapat dimengerti.