port forwarding
 

Задача:
Имеется модем-роутер (D-Link dsl-2640b, Firmware Version: EU_4.00 Hardware Version: B2) адрес во внутренней сети: 192.168.1.1. В этой сети есть комп (CentOS 5.5 and dns-server (BIND v.9.3). Адрес во внутренней сети статический: 192.168.1.20

Результат сканирования nmap такой:

192.168.1.20 (сервер с DNS)
PORT STATE SERVICE REASON
53/tcp open domain syn-ack

192.168.1.1 (роутер)
PORT STATE SERVICE REASON
53/tcp closed domain reset

внешний IP:
PORT STATE SERVICE REASON
53/tcp filtered domain no-response

PortForwarding устанавливался, DMZ устанавливалась. No success:)
Результат: DNS в инттернете не виден.
Кто-то с подобным сталкивался?

DNS у вас в приватной (серой) сети. Настраивайте NAT c 192.168.1.0 на реальный IP.
Подробнее опишите, что пытаетесь реализовать.

DMZ - стрельба по воробью из пушки. Если нужен только порт 53, делай DNAT с указанием 192.168.1.20 в качестве destination и с портом 53 udp. Если в интернете есть кеширующий DNS сервер по отношению к твоему, то возможно также нужен tcp порт.

DNS работает в основном через UDP.
Нужно настраивать port forwarding и для tcp, и для udp.

Admin for dsl-2640b автоматом предлагает две настройки 53 - tcp, 53 - udp. Обе включены.

Что такое DNAT и как его сделать?

1. Адрес роутера 192.168.1.1. Не "0" в конце. Или имеется в виду не роутер?
2. Как настроить NAT? На роутере нет впрямую панели "Настройки NAT" (или чего-то похожего). Написано так:
"The router already provides a simple firewall by virtue of the way NAT works. By default NAT does not respond to unsolicited incoming requests on any port, thereby making your LAN invisible to Internet cyberattackers."

Имеется зарегистрированное доменное имя (домен второго уровня). Нужен DNS-сервер для управления этой зоной (и несколькими другими). Имеется 2 DNS-сервера (второй в таком же состоянии).Регистрационные записи видны в сети. Например (http://www.intodns.com/) "The parent server a.gtld-servers.net has your nameservers listed." НО: "ERROR: One or more of your nameservers did not respond:" и дальше оба IP за которыми стоят локальные сети, в которых установлены DNS.
Итого: как настроить NAT?

Как альтернативный вариант - не держать зоны за домашними adslями, а переложить их, например, на zoneedit.com (или на каком-нибудь другом бесплатном сервисе).

Имеется в виду ваша локальная сеть 192.168.1.0

Посмотрел в мануале, ваш роутер не поддерживает NAT как таковой, есть некое подобие PAT.

Для вас критично скрыть ваш DNS в вашей локальной сети?
Скорее всего ваш провайдер выдает вам не один реальный IP. Как вариант, ставьте роутер в режим bridge и получайте реальный IP на ваш DNS.

Так же попробуйте, страница 37 ftp://ftp.dlink.co.uk/dkt_products/...l_v1_060407.pdf
добавить в поле IP address - 192.168.1.20 и в поля tcp, udp - 53. Обращение к вашему DNS через реальный интернет IP.

1. Имею три манула. Истине (т.е. конкретному устройству) соответствует вот этот: DSL-2640B_Manual_v1_060407.pdf. Остальные содержат пункт меню Virtual Servers. Это, вероятно, годится для dsl-2640u или для dsl-2640b version hardware B3.
Цитата из "моего":

"Network Address Translation (NAT) - For small office environments, the DSL-2640B allows multiple users on the LAN to access the
Internet concurrently through a single Internet account. This provides Internet access to everyone in the office for the price of a single user.
NAT improves network security in effect by hiding the private network behind one global and visible IP address. NAT address mapping can
also be used to link two IP domains via a LAN-to-LAN connection."
Т.е. NAT - вроде есть.
2.
>Для вас критично скрыть ваш DNS в вашей локальной сети?
Нет.
3.
>Скорее всего ваш провайдер выдает вам не один реальный IP. Как вариант, ставьте роутер в режим bridge и получайте реальный IP на ваш DNS.
Нет. Совет разрушителен: в режиме bridge компы из внутренней сети перестают видеть роутер. Включая AdminPanel. Дальше только hard reset

Попробывал. [IMG]PortForwarding.jpg [/IMG] Где указывать внешний IP адрес? В колонке remoteIP? - Не помогает...

Вот например список бесплатных DNS http://wm-help.net/seo-tools/free-DNS.html. Проверяю

При bridge ваши компы должны быть настроены с DHCP. Никаких явных адресов из вашей сети 192.168.1.0/24 указывать не нужно.

Remote IP скорее всего должен быть 192.168.1.20
Server IP оставьте пустым либо поставьте реальный. DNS должен работать при обращении к внешнему (реальному) IP.

Сервер DHCP во внутренней сети работает нормально. Комп с сервером имеет статический адрес (192.168.1.20). Остальные - динамические. bridge делает роутер (c DHCP-сервером) невидимым (для остальных компов в сети) и недоступным для управления (т.е. для настройки DHCP).

Server IP нельзя оставлять пустым - на какой комп роутер будет запросы пересылать?
В упоминаемом выше мануале сказано:
Select a name from the Computer Name drop-down menu or type an IP address
in the IP address input box to appoint the PC to receive the forwarded packets.
Те. имя компа (а оно только в локальной сети) есть эквивалент внутреннего IP-адреса

Сколько устройств у вас в сети?

Устанавливая модем в режим bridge сам провайдер выступает как DHCP сервер, т.е. у вашего модема 4 порта ethernet, допустим вы подключили 4 устройства в эти 4 порта. На каждом устройстве не указан IP адрес явно, а стоит DHCP клиент - получать IP адрес автоматически. Ваш провайдер выдает вам, скорее всего 3-4 реальных IP адреса, следовательно ваши устройства получат их напрямую, адреса 82.x.x.x скорее всего. У модема останется только сервисный дефолтный адрес 192.168.1.1

Далее, чтобы управлять модемом, вы на одном из устройств (допустим ваш PC), подключенным к одному из 4х портов модема, выставляете адрес 192.168.1.2 вручную и заходите на свой модем. Сделав необходимые настройки в модеме, снова убираете этот адрес, заменяя на DHCP client - получать адрес автоматически, провадер выдаст вам опять реальный IP.

Данная конфигурация избавляет вас от заморочек с NAT и порт форвардингом.


Я не знаю тонкостей работы вашего модема, вам нужно добиться в настройках схемы

--DNS запрос------>real IP/port 53------->NAT-------->192.168.1.20/port 53


Ключевое слово здесь or, Name drop-down menu or type an IP address

Очевиден более простой (для провайдера) вариант. Он выдает один реальный интернет IP. Этот адрес являетс внешним для роутера (и для всех устройств в локальной сети). Провайдер вообще является только DNS-сервером (способ подключения к провайдеру - DynamicIP)
Этот единственный внешний IP я вижу выходя в интернет с любого компа в локальной сети как собственный адрес.

В режиме bridge (как я понимаю) DHCP-сервер роутера не работает. А никто больше адресами во внутренней сети не занимается. Поэтому доступа к роутеру и его настройкам нет.

>Данная конфигурация избавляет вас от заморочек с NAT и порт форвардингом.
Вроде бы аналогичный результат (избавить от заморочек с NAT и порт форвардингом) должна давать DMZ...

Абсолютно "да"! Вот только в середине слово из трех букв сильно мешает:)

Вы вроде писали, что провайдер выдает несколько адресов...
Настройки модема очень упрощены, мне видется несколько вариантов решения:
1. Аренда/покупка дополнительных реальных адресов у провайдера
2. Приобрести любой иной роутер с полноценной поддержкой NAT.

П.С. Так как из вашей сети 192.168.1.0 устройства могут выходит в интернет, следовательно NAT работает по умолчанию, жаль что настроить его нельзя, в описании модема я не нашел окна конфигурации.

Согласен во всем.
Детали:
1. можно ли на одну телефонную розетку (dsl...) получить 2 IP ?
2. описание моего dsl-2640b предлагает 4 варианта прямого соединения порта сервера внутреннией сети с внешней. И не один не работает в даннои случае. Как выбирая устройство определить, что требуемые порты будут работать? Это ведь не конец - дальше будут 21,22,25,...110,443...:)

1. Можно и больше
2. Не мучайтесь этим, дешевле и проще первый вариант :). А так, то смотреть в сторону профильных девайсов, cisco, summit extreme, возможно d-link.

Принято. Не мучаюсь:)
А самый дешевый вариант - бесплатный DNS Вот быстренько получился такой обзор:

29 March 2011
1.
DynDNS.com (http://www.dyndns.com/) слишком продажный и неудобный
2.
http://www.everydns.com/ - отсылка на DynDNS
3.
EditDNS.net (http://editdns.org/) - не работает.
4.
http://freedns.afraid.org/
"Brandable Nameservers - Use ns1-ns4.yourdomain.com instead of ns1-ns4.afraid.org"
Очень хорошо, но:
# Your domain registrar must support the registration of multiple nameservers to a single IP.
# This service available to premium members only who are signed up to a plan that includes brandable nameserver support.
# You may apply branding to invisible domains only.

NS1.AFRAID.ORG (67.19.72.206)
NS2.AFRAID.ORG (174.37.196.55)
NS3.AFRAID.ORG (72.20.15.62)
NS4.AFRAID.ORG (208.43.71.243)

Конфликт между требованиями регистратора домена: "The domain name of this NameServer must be in your user account." Те в зарегистрированном домене.


5.
parking-page.net (http://parking-page.net/) - не подходит структура имени - мои должны быть в моей зоне
6.
freedns.sgh.waw.pl (http://freedns.sgh.waw.pl/) - поляки...
7.
primaryns.kiev.ua (http://primaryns.kiev.ua/) - самостийники...
8.
no-ip.com (http://www.no-ip.com/services/manag...ynamic_dns.html) -
"на нём работает Нижегородский хаб" - куда уж мне:)
9.
http://www.zoneedit.com/pricing.html - реально not FREE
"When you sign up for an account with ZoneEdit, your account comes with two free zones for life. The first two zones you add in your account will remain free forever unless you delete them. After the first two zones, we offer credit-based pricing that makes ZoneEdit affordable for all types of customers, from personal website owners to large enterprise businesses with hundreds of domains."
А у меня уже 2 зоны и сколько будет - невнятно.
10.
xname.org (http://www.xname.org/) - не работает.

Ну ты намудрил.....За чем привязывать локальный ком в к днс серверу, привязывают WAN к днс серверу

ip:192.168.1.20
mask:255.255.255.0
gw:192.168.1.1
dns1: от оператора интернета
dns2: от оператора интернета

В настройках модема есть фишка как привязать модем к бесплатному днс серверу...

1. Спасибо.
2. Задача состояла в создании собственного (управляемого мною) dns-сервера, а не в использовнии "dns1: от оператора интернета".
3. Среди множества "фишек" именно нужная оказалась неработающей. Это особенно интересно поскольку для порта 80 эта хрень работает. Как и для игровых портов (от 20000 судя по форумам). Как и для близких устройств (dsl-2640u. Кстати на Руси, похоже, модификации "b" нет вообще).

Есть еще один вариант. Берем любой простенький комп, 2 сетевые карты, в одну подключаем модем в бридже, вторая в локальную сеть. Устанавливаем линукс или фрибсд и настраиваем NAT.

самое простое, это днс от http://www.dy.fi/, только надо раз в 8 дней обновлять... Удачи!

Не годится: тут домен FI, а у меня уже com и info. Однако спасибо.

Куда не кинь - везде кэш:) Собственно, предлагаемый вариант еще несколько лет назад был бы основным. Похоже, к этому придется вернуться, обломав голову об остальное:)

Теперь следующий шаг.
Имеем тот же комп. Ставим на него Postfix. В режиме Virtual Domain Hosting. Есть какие-либо советы по настройке и (особенно) тестированию. Инструменты с использованием httpd и MySQL не принимаются:)