![OLORG[dot]ru](http://olorg.ru/application/maxsite/templates/olorgru/assets/images/logos/olorg-logo.png "OLORG[dot]ru"){kind=logo}
Привет дорогой читатель!
Сегодня я Хочу рассказать о том как с помощью Raspberry Pi можно организовать технологию NAT Loopback в домашних маршрутизаторах на примере Wi-Fi роутера D-Link DIR-620.
Вообще чтобы было понятно что это такое [NAT Loopback] попытаюсь простенько рассказать.
Смысл технологии NAT loopback (или NAT hairpinning) прост: если пакет приходит из внутренней сети на внешний IP-адрес маршрутизатора, он считается пришедшим извне — а значит, работают правила брандмауэра, относящиеся ко внешним соединениям. И если пакет успешно пройдёт сквозь брандмауэр, сработает NAT, взяв на себя посредничество между двумя внутрисетевыми машинами. Это даёт две вещи.
Прямо изнутри локальной сети можно проверить, как настроены сетевые службы.
Доступ к серверу, находящемуся в локальной сети, по доменному имени. Без NAT loopback пришлось бы править файл hosts на каждой машине для каждого задействованного домена и поддомена.
Недостатком NAT loopback можно считать повышенную нагрузку на хаб и маршрутизатор (по сравнению с прямым доступом к серверу).
Как уже было сказано это возможность постучаться изнутри на внешний адрес. В некоторых домашних роутерах это возможность есть. а в моем нет. Да мало того еще странная вкладка как DMZ так и Виртуальные серверы. Почему в этот функционал не дать возможность Nat Looback? Ну это всего вопрос к производителям, который мною уже задавался, а вот ответ так я и получить не смог.
Зато было выяснено что к модему можно подключиться через telnet и выполнить пару команд, которые этот механизм NAT Loopback реализуют, минус в этом есть, что все эти действия помогают только до перезагрузки роутера.
Считаю это не страшным так как у меня в принципе полноценный сервер, которому ничего не стоит выполнять эти команды по планировщику и при включении. Основной загвоздкой было то, что у меня динамический внешний IP и его как-то нужно узнавать.
первым вариантом было как-то парсить результаты ответа от какого-нибудь 2ipru, но результаты запроса из google показали существование другого сервиса - icanhazip.com. Именно он мне и приглянулся, так как отдает чистый текст, который не нужно парсить, а просто брать и использовать.
На форуме D-Link мне подсказали что выполнять по telnetу
iptables -t nat -A POSTROUTING -d 192.168.0.80 -s 192.168.0.0/24 -p tcp --dport 21 -j SNAT --to-source 192.168.8.103
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 192.168.8.103 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.80
192.168.0.80 -- адрес моего ПК, 192.168.8.103 -- адрес на WAN роутера
После недолгих раздумий был написан небольшой bash скриптик
#!/bin/bash
WAN_IP="`wget -qO - http://icanhazip.com`"
(
sleep 1
echo "Логин Админа"
sleep 1
echo "Пароль Админа"
sleep 1
echo "iptables -t nat -A POSTROUTING -d 192.168.0.89 -s 192.168.0.0/24 -p tcp --dport 80 -j SNAT --to-source $WAN_IP"
sleep 2
echo "iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d $WAN_IP -p tcp --dport 80 -j DNAT --to-destination 192.168.0.89"
sleep 2
echo "quit"
) | telnet 192.168.0.1
Команда sleep обязательна, так как это небольшая задержка на выполнения команды, а 192.168.0.89 - это IP адрес сервера к которому нужен доступ.
Собственно все что хотел сегодня Вам рассказать.
С уважением Ваш ИТ Инженер.
Посмотри и сравни - Windows и Linux - практический взгляд. Угадай кто кого?
