Настройка port-forwarding на D-Link DFL-260E

// Январь 28th, 2015 // Системное администрирование

dlink-logoВ этой статье я расскажу о том, как пробросить порты на роутере D-Link DFL-260E. Вообще это довольно занятный зверь, самая младшая модель в линейке профессиональных межсетевых экранов от D-Link.Сразу скажу, что интуитивно-непонятный интерфейс — это мало сказано. Если цензурно. Но после хорошего курения мануалов можно понять, что железка довольно мощная и раскрыть весь её потенциал. В этом посте я не буду говорить о настройке dhcp, dns и всему тому, о чем уже неоднократно сказано в Интернете и на форумах D-Link-а. Расскажу об одной конкретной задаче.

DFL-260E

Задача

Пусть у нас есть две подсети. Одна вот такая:

interface: lan
ip: 192.168.10.1
net: 192.168.10.0/24
mask: 255.255.255.0

Вторая такая:

interface: dmz
ip: 192.168.0.1
net: 192.168.0.0/24
mask: 255.255.255.0

Ну и собственно wan-интерфейс маршрутизатора, допустим такой (на тестовой площадке wan торчит в ЛВС, не обращаем внимания, у вас естественно цифры будут другие).

interface: wan
wan_ip: 172.20.5.113
gateway_ip: 172.20.0.1
net: 172.20.0.0/21
mask: 255.255.248.0

Есть сервер, назовём его balancer внутри dmz с адресом 192.168.0.25 (balancer_ip.
Нам необходимо пробросить 80 порт c внешнего wan_ip на внутренний balancer_ip (192.168.0.25), разрешить трафик от balancer в Интернет а также разрешить серверам из lan-сегмента и dmz-сегмента общаться с balancer по внешнему wan_ip.

Вот в последнем пункте как раз и была засада, т.к. при отправке пакета с dmz_ip:46654->wan_ip:80 обратные пакеты приходили напрямую на dmz_ip а не через маршрутизатор. В логах маршрутизатор писал слеующее:

unhandled_local, drop, LocalUndelivered

либо же вот так

unexpected sequence
drop

Т.е. очевидно, что клиент ждёт ответа от wan_ip а тут вдруг приходит ответ от от локального адреса balancer_ip. Это происходит из-за отсутствия NAT-а.

Сначала я вообще хотел разместить и сервера и клиенты в одном lan сегменте и через vlan-ы их разделить. Но в пределах одного vlan ответы на запросы на wan_ip мне так и не приходили. Пришлось, переместить сервера в dmz (кстати там им и положено быть) и настроить общение с как между ними (dmz->wan_ip:port->dmz->core->dmz) так и с клиентами с lan сегмента (lan->wan_ip:port->dmz->core->lan).

Решение

Вот итоговые правила для проброса 80 порта. Порядок правил важен. Обработк идёт сверху вниз.

working-dmz-v3-(refactoring)

Ссылки

DFL 260E-860E_User Manual_EN_US.pdf (7.4.1. Translation of a Single IP Address (1:1) стр. 376 таблица 3

 

Share

Спасибо!


Если вам помогла статья, или вы хотите поддержать мои исследования и блог - вот лучший способ сделать это:


Комментировать