Синтаксис і опис команди ip static для налаштування трансляції мережевих адрес NAT

Як в інтернет-центрі налаштувати трансляцію мережевих адрес NAT через інтерфейс командного рядка пристрою (CLI) за допомогою команди ip static?


 

Увага! Чинна стаття призначена для досвідчених користувачів.
У ній вказані синтаксис, докладний опис і приклади команди ip static для різних налаштувань трансляції мережевих адрес NAT. З зазначеної командою потрібно працювати через інтерфейс командного рядка (CLI) інтернет-центру серії Keenetic з мікропрограмою NDMS V2.

 

1. Опис і застосування команди ip static

Чинна команда дозволяє створити статичну прив'язку локальних IP-адрес до глобальних. Якщо interface або network відповідає інтерфейсу з публічним рівнем безпеки (в налаштуванях інтерфейсу в CLI встановлено параметр security-level public), то буде виконуватися трансляція адреси призначення (DNAT). Якщо to-address відповідає інтерфейсу з публічним рівнем безпеки, то буде виконуватися трансляція адреси джерела (SNAT).

Номер порту TCP / UDP завжди розглядається як порт призначення.

Якщо network відповідає єдиній адресі та ця адреса дорівнює to-address, таке правило буде забороняти трансляцію зазначеної адреси, яка могла б бути виконана виходячи із заданих правил ip nat.

Правила ip static мають більш високий пріоритет у порівнянні з правилами ip nat.
 

2. Синтаксіс команди ip static

Правило може працювати або для одного з двох протоколів (tcp або udp), або для всіх протоколів (в тому числі для icmp). Якщо не вказано тип протоколу tcp або udp, то в синтаксисі немає можливості вибрати номер порту.


Розглянемо найбільш використовувані приклади налаштування DNAT за допомогою команди ip static.

Приклад 1. У локальної мережі є сервер з IP-адресою 192.168.1.33, до якого потрібно організувати доступ за вказаною діапазону портів. Після створення правила будь-яке звернення за зовнішньою IP-адресою роутера по tcp-порту з 10000 по 20000 перенаправлятиметься на локальний сервер.

Перекидання діапазону tcp-портів призначення з зовнішнього інтерфейсу на хост в локальній мережі:

ip static tcp ISP 10000 through 20000 192.168.1.33

Чинне правило транслюватиме tcp-порти з 10000 до 20000 на IP-адресу 192.168.1.33.

Приклад 2. У локальної мережі є IP-камера з адресою 192.168.1.33, до якої потрібно надати доступ по udp-порту 554 для перегляду потокового відео. У програмі відтворення відео потрібно буде відкрити адресу rtsp: // WAN_IP: 554.

Перекидання одного udp-порту призначення c зовнішнього інтерфейсу на хост в локальній мережі:

ip static udp ISP 554 192.168.1.33

Чинне правило транслюватиме udp-порт 554 на локальну IP-адресу 192.168.1.33.

Приклад 3. У локальної мережі є кілька пристроїв, які мають однаковий порт керування, і потрібно налаштувати віддалений доступ до кожного з них. Одночасно відкрити один і той же зовнішній порт для різних хостів неможливо, тому необхідно налаштовувати правила, щоб клієнти, звертаючись за різними зовнішнім портам, потрапляли на свій пристрій в локальній мережі.

Перетворення одного зовнішнього tcp-порту призначення на інший порт призначення в локальній мережі:

ip static tcp ISP 8080 192.168.1.1 80

Чинне правило транслює звернення на зовнішній інтерфейс по порту 8080 в звертання на роутер по 80 порту.

 

Приклад 4. У локальної мережі є сервер з IP-адресою 192.168.1.33, до якого потрібно надати доступ по всіх портах.

Трансляція звернень з будь-якого зовнішнього порту на хост в локальній мережі (DMZ, відкритий сервер):

ip static ISP 192.168.1.33


3. Розглянемо найбільш використовувані приклади налаштування SNAT за допомогою команди ip static:

Приклад 1. Провайдер видає дві глобальні ( "білі") IP-адреси, і необхідно підмережу Home вивести через одну IP, а підмережу GuestWiFi через іншу.

Виведення локальної мережі Keenetic'а через глобальний інтерфейс з тією чи іншою IP-адресою:

ip static Home 180.100.100.10

Чинне правило буде спрацьовуваті для всіх пакетів, що йдуть з локальної мережі (Home) в усі глобальні інтерфейси (в налаштуваннях інтерфейсу встановлена галочка в полі Використовувати для виходу в Інтернет), та IP-адреса джерела буде підмінятіся на 180.100.100.10.

Увага! Чинне правило працює Незалежності від правила ip nat Home, так як ip static та має Найвищий ПРІОРИТЕТ.

Приклад 2. Провайдер видає дві глобальні ("білі") IP-адреси. У локальній мережі є сервер, і потрібно його опублікувати в Інтернеті зі своєю IP-адресою, а решту мережі через другу IP-адресу, видану провайдером.

Виведення одного хоста з локальної мережі в глобальну мережу з тією чи іншою IP-адресою (NAT 1 до 1).

ip static 192.168.1.33 255.255.255.255 180.100.100.10

Чинне правило буде працювати тільки для локального хосту 192.168.1.33, і він буде виходити через глобальний інтерфейс з адресою 180.100.100.10. Вся інша локальна підмережа буде працювати за правилом ip nat Home і буде йти в глобальну мережу з IP-адресою джерела, який прописаний на зовнішньому інтерфейсі.

Увага! Для роботи NAT 1 до 1 в налаштуваннях глобального інтерфейсу необхідно прописати алиас (псевдонім) за допомогою команди:

<config> interface ISP
<config-if> ip alias 180.100.100.10 255.255.255.255

Приклад 3. У локальній мережі є сервер з IP-адресою 192.168.1.33, який повинен виходити на зовнішню мережу зі свєю IP для організації класичної маршрутизації (без NAT).

Вимкнення правила роботи SNAT для хоста в локальній мережі:

ip static 192.168.1.33 255.255.255.255 192.168.1.33

Чинне правило дозволяє виходити локальному хосту з адресою 192.168.1.33 і маскою 255.255.255.255 в глобальні інтерфейси (WAN) зі свою локальною IP-адресою. Вся інша локальна підмережа буде працювати за правилом ip nat Home і буде йти в глобальну мережу з IP-адресою джерела, яка прописана на зовнішньому інтерфейсі.

 

Примітка

Для збереження налаштувань в енергонезалежній пам'яті інтернет-центру необхідно виконати команду system config-save

 

KB-2886

Чи була ця стаття корисною?

22 з 26 вважають статтю корисною