Переадресация всех портов на хост локальной сети (организация DMZ-хоста)

Иногда возникает задача в локальной сети интернет-центра Keenetic организовать DMZ-хост (это может быть веб-сервер, сетевой видеорегистратор, IP-камера или другое устройство), у которого открыты все порты и таким образом предоставить полный удаленный доступ к нему из Интернета. DMZ-хост это не сегмент DMZ, т.к. хост с открытыми портами не изолируется от внутренней сети и не защищен встроенными средствами безопасности (межсетевым экраном и механизмом трансляции адресов NAT).

NOTE: Важно!

1. Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье "В чем отличие "белого" и "серого" IP-адреса?"

2. Рассматриваемый в данной статье пример является частным случаем и не лучшим вариантом с точки зрения безопасности соединения. Этот вариант используйте, только если не знаете, какие порты и протоколы используются на сервере или сетевом устройстве. В этом случае безопасность должна осуществляться непосредственно средствами устройства, на котором открыты все порты. Мы рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства.
Для безопасного удаленного доступа используйте VPN.

Перед настройкой правила переадресации портов зарегистрируйте устройство в интернет-центре на странице "Список устройств" и включите опцию "Постоянный IP-адрес", указав для этого хоста локальный IP.

Затем на странице "Переадресация" нужно создать правило проброса всех портов.

dmz01.png

Включите правило переадресации портов.

В поле "Вход" нужно правильно указать значение. Выберите подключение или интерфейс, через который роутер Keenetic получает доступ в Интернет и на котором используется публичный IP-адрес (в нашем примере это "Провайдер"). В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через подключение с авторизацией PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение.

В поле "Выход" выберите устройство, подключение или интерфейс, которому будет переадресован подходящий трафик (в нашем примере это зарегистрированный в домашней сети компьютер Server).

В поле "Протокол" выберите значение "TCP/UDP (все порты и ICMP)" из списка предустановленных (это значение находится первым в списке).

В поле "Расписание работы" можно добавить расписание, по которому будет работать данное правило.

NOTE: Важно! Дополнительную настройку межсетевого экрана производить не нужно, т.к. при использовании правила переадресации интернет-центр самостоятельно открывает доступ по указанным портам и протоколам. 

Если переадресация портов по какой-то причине не заработала, обратитесь к статье "Что делать, если не работает переадресация портов?". 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 21 из 29