我有一个任务-在D-Link DFL路由器上发布服务,其IP地址未绑定到WAN接口。 但是在Internet上,我找不到能解决此问题的说明,因此我写了自己的说明。
源数据(以所有地址为例)
内部网络上的Web服务器,IP:
192.168.0.2 (端口
8080 )。
提供者分配的外部白色地址池:
5.255.255.0/28 ,提供者的网关:
5.255.255.1 ,其余的“我们的”地址为
5.255.255.2-14 。
让我们在NAT和其他需求下使用的地址
5.255.255.2-10 。 提供商的链接已连接到
wan1端口。 地址
5.255.255.2绑定到
wan1接口 。
任务:在端口
80上的公共地址
5.255.255.11上发布内部Web服务器。
简短的解决方案
要在与接口地址不匹配的ip上发布服务,您将需要:
- 使用路由表指示路由器需要在内部搜索已发布的IP。
- 发布ARP,以便路由器告诉邻居该发布的地址属于它。
- 路由器内部的防火墙规则( SAT )会将目标地址更改为目标服务器的地址。
- 规则防火墙(允许),它将允许从外部接口到路由器内部已发布地址的连接
现在,有关每个项目的更多信息
准备工作I.首先,我们将创建满足所有需求的“对象”(现在,我将显示Web界面的过程,我认为使用控制台的人员将能够将操作转移到控制台命令)。
1.在地址簿中添加两个ipv4地址:
网络服务器 =
192.168.0.2公共网络服务器 =
5.255.255.11
2.然后将端口添加到服务列表中:
int_http =
TCP:8080
tcp:80端口已经在服务列表中,称为
http ,它的会话数上限为
2000 ,可以调整。
哦事实证明,根本不需要在内部网络上添加服务器端口,但是我保留了它,因为 一个公共端口可能需要一个示例,但它们被平均添加
二。 我们直接进行解决。
点
1和
2可以合并,因为 添加静态路由时,可以立即提供ARP。
老实说,我没有立即看到这个机会并手动设置出版物,路由器也具有这种功能。1.因此,如果尚未为路由表和规则创建堆,则可以在主路由表中完成所有工作,这称为
main 。
主表将默认为
wan1接口上的网络
5.255.255.0/28的路径。 并且此路由的度量标准与接口设置中指定的度量标准匹配(默认为
100 )。
为了使网关不将数据包发送回
wan1接口,您需要在度量标准小于
100 (小于
wan1接口
度量标准 )的
核心接口中创建一条到
public-web-server地址的静态路由-然后网关将在其内部进行查找。
2.在同一位置,创建路由时,可以配置代理ARP,以便网关响应ARP请求。 在“代理ARP”选项卡上,添加WAN接口。
创建路由,但不要单击“确定”,然后转到代理ARP的第二个标签:
ARP,添加
wan1接口:
3.最后,我们继续进行NAT和防火墙设置(
dlink.ua网站上的说明中已经对此进行了足够详细的描述)。
我们创建SAT规则,以便在来自
wan1接口的,目标地址为
public-web-server的数据包中
,目标端口是
http ,我们配置了通往
核心接口的路由,将目标地址替换为我们的
Web服务器服务器的内部地址和
8080端口。
4.下一步是启用这样的程序包-创建具有类似参数的Allow规则(复制SAT规则并用Allow替换操作很方便)。
一个笔记在这种情况下,规则应按以下顺序排列:首先是SAT,然后是允许:
请记住,SAT规则必须高于允许规则。 这是由于这样的事实,即属于“允许”或“拒绝”规则的数据包不会沿“规则”表进一步移动。
dlink.ua在这种情况下,还将为公共端口和地址创建allow规则:
请注意,启用规则中协议,接口和网络的参数与具有“ SAT”操作的规则中的参数相同。
在我看来,SAT规则早已对数据包进行了处理,并且目标地址和端口是新的,但不,替换似乎在所有其他规则都制定之后的某个时间发生。
在
D-link的
指令中 ,SAT的功能得到了深入的公开;它具有许多有趣的功能。 我的目标是发现本说明和其他说明中未涵盖的问题。 我希望该说明对您有所帮助并且可以理解。