Запись от специального приглашенного гостя 🙂 Моя – только публикация
Эта статья посвящена детальному рассмотрению возможности использования сети (пула) статических (белых) ip адресов на интерфейсе WAN маршрутизатора dfl 210 и эффективного использования их для работы. Сегодня мы рассмотрим простейшую и самую распространенную задачу с которой сталкиваются системные администраторы и начинающие администраторы сети.
ДАНО:
Провайдер выдал по нашему запросу сеть статики ( распространенная подсеть /29 (маска 255,255,255,248)) ИНФОРМАЦИЯ по маскам и префиксам подсети
1.1.1.1 \ 1.1.1.2 \ 1.1.1.3 \ 1.1.1.4 шлюзом ( GW ) у нас будет 1.1.1.8
DNS адреса 1.0.0.254 1.0.1.254
Сервера и сервисы у нас находятся за интерфейсом DMZ в сети 192.168.11.0/24 (маска 255,255,255,0)
Локальная сеть находится за интерфейсом LAN в сети 192.168.22.0/24
ЗАДАЧА:
Обеспечить прохождение исходящих пакетов сервисов, сетевых протоколов или приложений через определенный белый ip адрес.
Решить задачи по перенаправлению входящих запросов с белого IP адреса и определенного порта на локальные сервера для обеспечения доступа к различным сервисам и службам из интернета (внешнего мира).
Для решения этой задачи будем использовать port forwarding, ARP, NAT, SAT, ip-rules (политика управления трафиком на основе правил, установленных для определенных адресов сети)
РЕШЕНИЕ:
Перво-наперво необходимо четко себе представить, что вы хотите , что у вас есть, и чем вы будете решать задачу.
Посему предлагаю действенный способ – бумажно – схема и рассуждения на бумаге.
–
Рисуем небольшу табличку или схемку – что мы хотим Рисуем сверху схему, что у нас есть. вписываем устройство и подисываем в таблице- чем будем решать задачу.
Перво наперво, заходим в панель администрирования нашего устройства и заполним с вами основные вещи.
1) Заполним объекты -> адресная книга. В InterfacesAddress запишем адреса WAN
Добавить – ip4 адресс, зададим имя понятное нам и короткое (wan1) и впишем адрес (1.1.1.1)
Комментарии можно добавлять по желанию. Например (default)
Повторяем процедуру и заносим следущие адреса:
wan2 ->1.1.1.2 (arp) wan3 -> 1.1.1.3 (arp) wan4 -> 1.1.1.4 (arp) wan-gw -> 1.1.1.8 (GW)
mask -> 255.255.255.248 dns1 -> 1.0.0.254 dns2 -> 1.0.1.254
Далее выходим снова в адресную книгу и создаем папку LOCAL. В нее мы занесем адреса:
dmz_ip -> 192.168.11.1 dmz-net -> 192.168.11.0/24 lan_ip -> 192.168.22.1 lan-net -> 192.168.22.0/24
Ad1 ad2 vm_srv www-srv mail-srv
192.168.11.11 192.168.11.22 192.168.11.88 192.168.11.10 192.168.11.20
2) заполняем объекты -> сервисы
Внесем в список специфические порты для перенаправления (допутим если на 1 внешний адрес потребуется пробросить серверов 23 и организовать доступ к удаленному рабочему столу(rdp), то можно создать порты по следующей логике: номер порта будет БОЛЬШЕ 10 000. первые парные или не парные цифры будут нам идентификатором сервиса, остальные цифры – последние цифры ip сервера или номер компьютера. тоесть rdp1 = 11001 rdp2 = 11002 ….. rdp23 = 11023)
rdp1-> 11011 rdp2-> 11022 rdp3-> 11088
ssh1 -> 22010 ssh2 ->22020
3) теперь мы можем перейти к заполнению остальных разделов.
Сначала настроим интерфейсы – перейдем в соответствующий пункт меню и выберем Ethernet
Настроим наши интерфейсы просто выбирая наши значения
WAN ==> wan1 \ mask \ wan-gw
DMZ ==> dmz_ip \ dmz-net
LAN ==> lan_ip \ lan-net \lan_ip
–
Перейдем в ARP и настроим
Publish \ wan \ wan2 \ 00-00-00-00-00-00
Publish \ wan \ wan3 \ 00-00-00-00-00-00
Publish \ wan \ wan4 \ 00-00-00-00-00-00
4) Идем в систему и настраиваем дату и время, DNS , DHCP
создаем 2 сервера DHCP,
1- DMZ_dhcp \ dmz \ 0.0.0.0/0 \ dmz-net \ 255.255.255.0 (Имя, интерфейс, фильтр передачи, пул, маска)
Идем в Опции -> dmz_ip \ (по выбору) \ 86400 \ dns1 \ dns2 (шлюз \домен \время аренды \днс )
2- LAN_dhcp \ lan \ 0.0.0.0/0 \ lan-net \ 255.255.255.0 \\ lan_ip \ (–) \ 86400 \ dns1 \ dns2
В меню каждого сервера можно создать статическую запись хостов (привязать красивые ипы к мак-адресам)
5) Завершающий этап нашей с вами работы – написание правил адресации трафика
Правила есть общие на сети, общие на сеть и правила по адресам.
Посему создаем папки с серверами, потом папки с двумя нашими сетями
в папки начинаем добавлять правила (AD1) (AD2) (VM_SRV) (WWW_SRV) (MAIL_SRV)
Начнем с НАТ – правила пишутся парами для сервса ( сервисов) или для выпуска сервака в интернет
–
ИМЯ_/_ действие_/_сервисы_/_источник_/_назначение_//_вклдка нат
NAT_AD1 \ NAT \ all_services \ DMZ \ Ad1 \ any \ allnet \\ (nat -> определить адрес отправителя ->wan1)
ALLOW_NAT_AD1 \allow \ all-services \ dmz \ad1 \any \allnet
–
Далее иут правила САТ для перенаправления портов и сервисов с внешнего ИП на порты компьютера внутри сети.
–
1DNS_AD1 \ SAT \ dns-tcp \ any \ allnet \ any \wan1 \\ sat ->->AD1 \ 53
ALLOW_1DNS_AD1 \allow \dns-tcp \any \allnet \any \wan1
2DNS_AD1 \ sat \ dns_udp \ any \ allnet \ any \wan1 \\ sat->->AD1 \ 53
ALLOW_2DNS_AD1 \allow \dns-udp \any \all \any \wan1
RDP1 \ sat \ rdp1 \any \all \any \wan1 \\ sat->->AD1 \ 3389
allow_rdp1 \allow \rdp1 \any \all \any \wan1
–
NAT_AD2 \ NAT \ all_services \ DMZ \ Ad1 \ any \ allnet \\ (nat -> определить адрес отправителя ->wan2)
ALLOW_NAT_AD2 \allow\ all-services \dmz \ad2 \any \allnet
1DNS_AD2 \ SAT \ dns-tcp \ any \ allnet \ any \wan2 \\ sat ->->AD2 \ 53
ALLOW_1DNS_AD2 \allow \dns-tcp \any \allnet \any \wan2
2DNS_AD2 \ sat \ dns_udp \ any \ allnet \ any \wan2 \\ sat->->AD2 \ 53
ALLOW_2DNS_AD2 \allow \dns-udp \any \all \any \wan2
RDP2 \ sat \ rdp2 \any \all \any \wan1 \\ sat->-> AD2 \ 3389
allow_rdp2 \allow \rdp1 \any \all \any \wan1
–
По этому примеру для остальных папок создаем такие же правила – только меняем порты и IP
http ->80
https->443
ssh->22
–
В случае с ад1 и ад2
АД1 по правилу нат будет выходить в интернет с ИП WAN1 ( 1.1.1.1 )
AD2 по правилу нат будет выходить в интернет с ИП WAN2 ( 1.1.1.2 )
При соединении на 1,1,1,1:11011 (ИП:ПОРТ) вы будете подключаться к удаленному рабочему столу АД1
При соединении на 1,1,1,1:11022 (ип:порт) вы будете подключаться к удаленному рабочему столу АД2
Тоесть мы получаем возможность экономно расходовать адресное пространство для того чтобы соединение на различные порты 1го адреса перенаправляло на множественные машины внутри сети
и для сервисов банкинга и прочих можно использовать разные СТАТИЧЕСКИЕ ип
Сеть LAN мы можем выпустить в интернет через 1,1,1,4
NAT_LAN \ NAT \ all_services \ LAN \ lannet \ any \ allnet \\ (nat -> определить адрес отправителя ->wan4)
ALLOW_NAT_LAN \allow\ all-services \lan \lannet \any \allnet
Настроить обмен трафиком между сетями
ALLOW_LAN_DMZ \allow\ all-services \lan \lannet \DMZ \DMZNET
ALLOW_DMZ_LAN \allow\ all-services \DMZ \DMZNET \lan \lannet