Переадресация всех портов на хост локальной сети (организация DMZ-хоста)

Иногда возникает задача в локальной сети интернет-центра Keenetic организовать DMZ-хост (это может быть веб-сервер, сетевой видеорегистратор, IP-камера или другое устройство), у которого открыты все порты и таким образом предоставить полный удаленный доступ к нему из Интернета. DMZ-хост это не сегмент DMZ, т.к. хост с открытыми портами не изолируется от внутренней сети и не защищен встроенными средствами безопасности (межсетевым экраном и механизмом трансляции адресов NAT).

NOTE: Важно!

1. Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье "В чем отличие "белого" и "серого" IP-адреса?"

2. Рассматриваемый в данной статье пример является частным случаем и не лучшим вариантом с точки зрения безопасности соединения. Этот вариант используйте, только если не знаете, какие порты и протоколы используются на сервере или сетевом устройстве. В этом случае безопасность должна осуществляться непосредственно средствами устройства, на котором открыты все порты. Мы рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства.

Перед настройкой правила переадресации портов зарегистрируйте устройство в интернет-центре на странице "Список устройств" и включите опцию "Постоянный IP-адрес", указав для этого хоста локальный IP.

Затем на странице "Переадресация" нужно создать правило проброса всех портов.

dmz01.png

Включите правило переадресации портов.

В поле "Вход" нужно правильно указать значение. Выберите подключение или интерфейс, через который роутер Keenetic получает доступ в Интернет и на котором используется публичный IP-адрес (в нашем примере это "Провайдер"). В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через подключение с авторизацией PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение.

В поле "Выход" выберите устройство, подключение или интерфейс, которому будет переадресован подходящий трафик (в нашем примере это зарегистрированный в домашней сети компьютер Server).

В поле "Протокол" выберите значение "TCP/UDP (все порты и ICMP)" из списка предустановленных (это значение находится первым в списке).

В поле "Расписание работы" можно добавить расписание, по которому будет работать данное правило.

NOTE: Важно! Дополнительную настройку межсетевого экрана производить не нужно, т.к. при использовании правила переадресации интернет-центр самостоятельно открывает доступ по указанным портам и протоколам. 

Если переадресация портов по какой-то причине не заработала, обратитесь к статье "Что делать, если не работает переадресация портов?". 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 7
  • Если включен DMZ на какой то локальный хост, получается остальные устройства сети теряют доступ к интернету? (Ведь все входящие пакеты направляются на хост DMZ)

    0
    Действия с комментариями Постоянная ссылка
  • Нет. DMZ-зону вы делаете только для входящих подключений (со стороны Интернета) на определенный сервер или компьютер, а доступ в Интернет для остальных устройств домашней сети будет продолжать работать.

    0
    Действия с комментариями Постоянная ссылка
  • Окей, исходящие соединения из локальной сети работать будут, но мне не понятно как пакеты возвращаются обратно из интернета в локальную сеть, если все внешние порты проброшены на хост DMZ

    0
    Действия с комментариями Постоянная ссылка
  • Почитайте информацию в Интернете о том как устроен NAT https://ru.wikipedia.org/wiki/NAT
    Например: "Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в Интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из Интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из Интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись об n-м порте за сроком давности."

    Другими словами: когда происходит запрос от локального компьютера (инициатор подключения) в Интернет, на роутере открывается сессия, происходит запрос на какой-то сайт, роутер знает об этой сессии и все входящие пакеты в рамках этой сессии он переадресует на локальный компьютер, т.к. именно он выполнил запрос в Интернет. Если же инициатор подключения находится в Интернете и обращается на адрес роутера, то только в этом случае срабатывает DMZ на хост, указанный в настройках переадресации, и все пакеты автоматически пересылаются на DMZ-хост (например, это может быть веб-сайт или ftp-сервер).

    1
    Действия с комментариями Постоянная ссылка
  • Спасибо за подробное описание. Но я всё еще не понимаю - если ВСЕ порты внешние порты роутера настроены на переадресацию на хост DMZ, то какие порты использует NAT?
    Резервируется какой-то диапазон?

    0
    Действия с комментариями Постоянная ссылка
  • Дмитрий, в двух словах рассказать о том как устроен механизм трансляции сетевых адресов NAT в сетевых технологиях - не просто. В Интернете много литературы и текстов на эту тему. Если вам интересно, почитайте. Приведу ещё один пример функционирования NAT:

    Каждый пакет имеет два адреса – адрес источника и адрес назначения. Для исходящих пакетов, внутренний локальный адрес (ILA) является адресом источника в локальной сети, а внутренний глобальный адрес (IGA) - адресом источника в глобальной сети. Для входящих пакетов, ILA – это адрес назначения в локальной сети, а IGA - адрес назначения в глобальной сети. NAT преобразовывает частные (локальные) IP-адреса в уникальные глобальные, необходимые для связи с хостами других сетей. NAT заменяет исходный IP-адрес источника (и номера портов источника TCP или UDP) в каждом пакете и пересылает его в Интернет. NAT сохраняет исходные адреса и номера портов, чтобы можно было восстановить исходные значения во входных ответных пакетах.

    0
    Действия с комментариями Постоянная ссылка
  • И ещё дополню, что касается именно DMZ-хоста. При создании такого правила переадресации всех портов (как в данной статье), вы определяете конкретный сервер внутри вашей сети и настраиваете перенаправление всего трафика, который приходит из внешней сети (!) на адрес роутера. Т.е. это правило будет действовать только для входящих (!) сессий, для исходящих сессий (из локальной сети) это правило не будет применено.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.