Настройка port-forwarding на D-Link DFL-260E
В этой статье я расскажу о том, как пробросить порты на роутере D-Link DFL-260E. Вообще это довольно занятный зверь, самая младшая модель в линейке профессиональных межсетевых экранов от D-Link.Сразу скажу, что интуитивно-непонятный интерфейс – это мало сказано. Если цензурно. Но после хорошего курения мануалов можно понять, что железка довольно мощная и раскрыть весь её потенциал. В этом посте я не буду говорить о настройке dhcp, dns и всему тому, о чем уже неоднократно сказано в Интернете и на форумах D-Link-а. Расскажу об одной конкретной задаче.
Задача
Пусть у нас есть две подсети. Одна вот такая:
1 2 3 4 |
interface: lan ip: 192.168.10.1 net: 192.168.10.0/24 mask: 255.255.255.0 |
Вторая такая:
1 2 3 4 |
interface: dmz ip: 192.168.0.1 net: 192.168.0.0/24 mask: 255.255.255.0 |
Ну и собственно wan-интерфейс маршрутизатора, допустим такой (на тестовой площадке wan торчит в ЛВС, не обращаем внимания, у вас естественно цифры будут другие).
1 2 3 4 5 |
interface: wan wan_ip: 172.20.5.113 gateway_ip: 172.20.0.1 net: 172.20.0.0/21 mask: 255.255.248.0 |
Есть сервер, назовём его balancer внутри dmz с адресом 192.168.0.25 (balancer_ip.
Нам необходимо пробросить 80 порт c внешнего wan_ip на внутренний balancer_ip (192.168.0.25), разрешить трафик от balancer в Интернет а также разрешить серверам из lan-сегмента и dmz-сегмента общаться с balancer по внешнему wan_ip.
Вот в последнем пункте как раз и была засада, т.к. при отправке пакета с dmz_ip:46654->wan_ip:80 обратные пакеты приходили напрямую на dmz_ip а не через маршрутизатор. В логах маршрутизатор писал слеующее:
1 |
unhandled_local, drop, LocalUndelivered |
либо же вот так
1 2 |
unexpected sequence drop |
Т.е. очевидно, что клиент ждёт ответа от wan_ip а тут вдруг приходит ответ от от локального адреса balancer_ip. Это происходит из-за отсутствия NAT-а.
Сначала я вообще хотел разместить и сервера и клиенты в одном lan сегменте и через vlan-ы их разделить. Но в пределах одного vlan ответы на запросы на wan_ip мне так и не приходили. Пришлось, переместить сервера в dmz (кстати там им и положено быть) и настроить общение с как между ними (dmz->wan_ip:port->dmz->core->dmz) так и с клиентами с lan сегмента (lan->wan_ip:port->dmz->core->lan).
Решение
Вот итоговые правила для проброса 80 порта. Порядок правил важен. Обработк идёт сверху вниз.
Ссылки
DFL 260E-860E_User Manual_EN_US.pdf (7.4.1. Translation of a Single IP Address (1:1) стр. 376 таблица 3