Eu tive uma tarefa - publicar o serviço no roteador DFL da D-Link com um endereço IP que não esteja vinculado a uma interface WAN. Mas na Internet não encontrei instruções que resolvessem esse problema, então escrevi as minhas.
Dados de origem (todos os endereços são tomados como exemplo)
Servidor da Web na rede interna com Ip:
192.168.0.2 (porta
8080 ).
O pool de endereços brancos externos alocados pelo provedor:
5.255.255.0/28 , o gateway do provedor:
5.255.255.1 , os demais "nossos" endereços são
5.255.255.2-14 .
Deixe os endereços
5.255.255.2-10 que usamos sob NAT e outras necessidades. O link do provedor está conectado à porta
wan1 . O endereço
5.255.255.2 está vinculado à
interface wan1 .
Tarefa: publique o servidor da Web interno no endereço público
5.255.255.11 , na porta
80 .
Solução brevemente
Para publicar o serviço no ip que não corresponde ao endereço da interface, você precisará de:
- Indique ao roteador que o IP publicado precisa ser pesquisado dentro, usando tabelas de roteamento .
- Publique o ARP para que o roteador informe aos vizinhos que o endereço publicado pertence a ele.
- A regra de firewall ( SAT ), que dentro do roteador alterará o endereço de destino para o endereço do servidor de destino.
- Firewall de regra (Permitir), que permitirá uma conexão da interface externa ao endereço publicado dentro do roteador
E agora um pouco mais sobre cada item
PreparaçãoI. Primeiro, criaremos “Objetos” para todas as nossas necessidades (agora mostrarei o processo para a interface da web, acho que aqueles que trabalham com o console poderão transferir ações para os comandos do console).
1. Adicione dois endereços ipv4 ao catálogo de endereços:
servidor web =
192.168.0.2public-web-server =
5.255.255.11
2. Em seguida, adicione as portas à lista de serviços:
int_http =
tcp: 8080
A porta
tcp: 80 já está na lista de serviços, chamada
http , possui um limite de
2000 sessões, o limite pode ser ajustado.
ohDescobriu-se que adicionar a porta do servidor na rede interna não é necessário, mas deixo porque pode ser necessário um exemplo para uma porta pública, mas eles são adicionados igualmente
II Prosseguimos diretamente para a solução.
Os pontos
1 e
2 podem ser combinados, porque ao adicionar uma rota estática, é possível fornecer ARP imediatamente.
Honestamente, não vi essa oportunidade imediatamente e configurei a publicação manualmente, o roteador também tem essa funcionalidade.1. Portanto, se você ainda não criou montes de tabelas e regras de roteamento para elas, tudo pode ser feito na tabela de roteamento principal, isso é chamado de
principal .
A tabela
principal usará como padrão o caminho para a rede
5.255.255.0/28 na interface
wan1 . E a
métrica dessa rota corresponde à métrica especificada nas configurações da interface (
100 por padrão).
Para que o gateway não envie pacotes de volta para a interface
wan1 , é necessário criar uma rota estática para o endereço do
servidor público-web na interface
principal com uma métrica menor que
100 (menor que a
métrica da interface
wan1 ) - então o gateway procurará "dentro de si".
2. No mesmo local, ao criar uma rota, você pode configurar o Proxy ARP para que o gateway responda às solicitações do ARP. Na guia Proxy ARP, adicione a interface WAN.
crie uma rota, mas não clique em OK e vá para a segunda guia do Proxy ARP:
ARP, adicione a interface
wan1 :
3. Finalmente, passamos às configurações de NAT e firewall (isso já está descrito em detalhes suficientes nas
instruções no site dlink.ua ).
Criamos a regra SAT para que, no pacote da interface
wan1 com o endereço
público-servidor-web, a porta de destino seja
http , para a qual configuramos a rota para a interface
principal , substitua o endereço de destino pelo endereço interno do
servidor e porta do
servidor da web em
8080 .
4. E a próxima etapa é habilitar esse pacote - crie uma regra Permitir com parâmetros semelhantes (é conveniente copiar a regra SAT e substituir a ação por Permitir).
uma notaNesse caso, as regras devem estar nesta ordem: primeiro SAT e, em seguida, Permitir:
Lembre-se de que a regra SAT deve ser maior que a regra de permissão. Isso se deve ao fato de um pacote, pertencente a uma regra de permissão ou negação, não ir mais longe na tabela "Regras".
dlink.uaNesse caso, a regra de permissão também é criada para a porta e o endereço públicos:
observe que os parâmetros do protocolo, interfaces e redes na regra de habilitação são os mesmos da regra com a ação "SAT".
Pareceu-me que o pacote já havia sido processado pela regra SAT uma linha anterior, e o endereço e a porta de destino são novos, mas não, parece que a substituição ocorre algum tempo depois de todas as outras regras terem sido elaboradas.
Nas
instruções do D-link, a funcionalidade do SAT é profundamente divulgada, apresentando muitos recursos interessantes. Meu objetivo era descobrir uma pergunta não abordada nesta instrução e em outras instruções. Espero que a instrução seja útil e compreensível.