Как опубликовать локальный сервер через портмаппинг

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы
<< Предыдущий Версия 7 Следующий >>

Как опубликовать локальный сервер через портмаппинг. Проброс портов. DNAT. Port Forwarding. Portmapping.

  1. настроить авторизацию по IP для локального сервера (http://www.ideco-software.ru/forum/default.aspx?g=posts&t=654)
  2. Создать правило портмаппинг (DNAT) в разделе "системный Firewall" в ICSManager
    пример, если адрес локального сервера 192.168.1.2, а внешний адрес у ideco 87.00.00.77
    то делаете правило в firewall: 
    протокол - TCP
src 0.0.0.0     mask 0.0.0.0         port ALL
dst 87.00.00.77 mask 255.255.255.255 port 80
действие -  портмаппер(DNAT) на 192.168.1.2      Port 80

    Если вы хотите опубликовать другую службу, то в место 80 нужно написать порт этой службы, (например, для SMTP это 25)

  3. Это правило не обязательно в общем случае! Создать еще одно правило чтобы из локальной сети тоже можно было подключаться на внешний IP-адрес:
    (пример для локальной сети 192.168.1.0/255.255.255.0) 
    протокол - TCP
src 192.168.1.0 mask 255.255.255.0   port ALL
dst 87.00.00.77 mask 255.255.255.255 port 80

    действие - SNAT на (IP-адрес на локальной сетевой карте ideco) Port  (оставить пустым)
    ----В случае использования пункта 3 и доступа к локальному серверу из локальной сети по внешнему адресу будет происходить SNAT - что будет означать сокрытие адреса с которого производится запрос (адрес будет заменяться на IP-адрес на локальной сетевой карте ideco). Чтобы этого избежать можно вместо всех вышеприведенных пунктов настроить так:

  1. На сервере в локальной сети добавить дополнительный IP-адрес из отдельной непересекающейся сети. (например, если у вас сеть 10.0.0.1/255.255.255.0, то 10.0.1.2/255.255.255.0). Если доступ по существующему IP-адресу в локальной сети не предполагается, то можно просто заменить существующий адрес на новый.
  2. На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из выбранной подсети (например, 10.0.1.1/255.255.255.0).
  3. настроить авторизацию по IP для нового IP-адреса (10.0.1.2). (http://www.ideco-software.ru/forum/default.aspx?g=posts&t=654)
  4. Создать правило портмаппинг (DNAT) в разделе Firewall в ICSManager
    пример, если адрес локального сервера 10.0.1.2, а у ideco 87.00.00.77
    то делаете правило в firewall: 
    протокол - TCP
src 0.0.0.0     mask 0.0.0.0         port ALL
dst 87.00.00.77 mask 255.255.255.255 port 80
действие -  портмаппер(DNAT) на 10.0.1.2      Port 80

    о сути это означает, что для этого сервера мы выделили отдельную не пересекающуюся подсеть. В идеале для этого нужен отдельный сетевой интерфейс, но в этом конкретном случае такое решение приемлемо.

Эта инструкция подходит только при наличии статического белого адреса на интерфейсе. Для динамических адресов подойдет эта инструкция.

Скриншот результата

Здесь в зависимости от настроек вашей сети изменяются следующие параметры:

  • 10.90.140.9 - внешний IP адрес Ideco АСР
  • 192.168.9.5 - внутренний IP адрес публикуемого сервера
  • 20033 - порт, на котором сервер публикуется для доступа извне
  • 22 - порт, на котором слушает сервер в локальной сети, в данном случае это SSH

После этого извне к публикуемому серверу можно подключиться следующим образом: 

ssh root@10.90.140.9 -p 20033, не имея доступа к сети 192.168.9.0/24

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.