Переадресация всех портов на хост локальной сети (организация DMZ-хоста)

Что такое DMZ в роутере и как настроить демилитаризованную зону

Функциональные возможности Wi-Fi роутера довольно широки, но некоторые опции этого сетевого устройства совсем незнакомы некоторым пользователям. Безусловно определенные функции в интерфейсе устройства рядовым юзерам ни к чему, но если нужно решить нетривиальные задачи, то знать о них просто необходимо. Например, геймерам, имеющим дома игровой сервер или обезопасившим себя системой видеонаблюдения, чтобы открыть доступ к DVR видеорегистратору следует знать, что такое DMZ в роутере и как настроить виртуальную зону.

Многие рекомендуют в таких случаях сделать проброс портов. Это действительно актуально, но в этом случае есть риск столкнуться с некоторыми проблемами. Нередко под видеорегистратор для веб-интерфейса используется 80-тый порт, который изменить нельзя и вместе с этим на маршрутизаторе он тоже занят, а значит проброс портов в этом случае
неактуален. Есть бывалые ребята, которые перенаправляют сетевой поток с участием брандмауэра, но на мой взгляд лучше воспользоваться встроенной в роутер опцией DMZ.

DMZ — это аббревиатура от выражения DeMilitarized Zone, что переводиться как Демилитаризованная зона. По сути это специализированный локальный сегмент сети, который содержит в себе общедоступные сервисы с полным открытым доступом для внутренней и внешней сети. Одновременно с этим, домашняя (частная) сеть остается закрытой за сетевым устройством и никаких изменений в ее работе нет.

После активации этой функции, ДМЗ-хост будет доступен из Всемирной сети с полным контролем над своей безопасностью. То бишь, все открытые порты, находящиеся в этой зоне, будут доступны из Интернета и локальной сети по доверенному IP-адресу. Таким образом DMZ обеспечивает необходимый уровень безопасности в локальной сети и дает возможность свести к минимуму ущерб в случае атаки на общедоступный (добавленный в ДМЗ) IP. Как вы понимаете, атакующий имеет только доступ к устройству, которое добавлено в Демилитаризованную зону.

Если вы добавили в эту зону регистратор, то можно просто изменить пароль, а вот игровой сервер нуждается в дополнительной настройке контроля и фильтрации в брандмауэре. Следует сказать, что, например, для компьютера, который добавлен в качестве узла DMZ, нужно отключить функцию DHCP-клиента (автоматическое получение IP-адреса) и присвоить ему статический IP. Это необходимо сделать из-за того, что функция DHCP может менять IP-адрес устройства.

Как включить и настроить DMZ на Wi-Fi роутере / модеме.

Бюджетные модели этих сетевых устройств не имеют возможности создать полноценную зону для всех участников в нашем сегменте сети, но нам это и не нужно. Главное, что есть возможность добавить в Демилитаризованную зону один IP-адрес видимой станции. Этим действием, мы сделаем DMZ-хост и откроем доступ из внешней сети ко всем его доступным портам.

Зайдите в интерфейс маршрутизатора и в административной панели отыщите вкладку с названием DMZ. Например, у сетевых устройств от компании ASUS данная вкладка расположена в «Интернет» -> «DMZ».

На роутере компании TP-Link включить DMZ можно в разделе «Переадресация» (Forwarding) -> «DMZ».

К сожалению, от других производителей сетевых устройств для создания скриншота сейчас под рукой нет, но где найти эту функцию в других моделях на словах скажу. Компания D-Link расположила ее в «Межсетевом экране», а Zyxel Keenetic может добавить эту опции в параметрах NAT.

Как видите включить DMZ на роутере достаточно просто. Желаю, чтобы различного рода атаки обходили вас стороной.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter
.

Универсальный пакет программ для работы с мультимедиа от Movavi

Smart TV приставка или как телевизор сделать умным

Защита Windows с помощью программы Shadow Defender

Тест монитора программой PassMark MonitorTest

Как защитить глаза при работе за компьютером

Как удалить вирус блокирующий Windows (баннер вымогатель)

Настройка проброса портов Zyxel.

Сегодня опишем процесс проброса портов роутера Zyxel.В предыдущей теме мы описали проброс портов на роутере D-link, в принципе схема одна и также, но все равно у новичков могут появиться вопросы, поэтому и создан этот пост.

Проброс портов роутера Zyxel

Проброс портов для роутера Zyxel keenetic lite

Переходим Домашняя сеть – Серверы
. Включаем необходимую службу и добавляем нужный порт.

Сервис
– другойПротокол
– выбирается нужный протоколПорты
– вводится нужный порт Убираем галочку Широковещательный
IP-адрес сервера
– ip адрес ПКОписание
– название приложенияДоступ из интернета
– Разрешаем всем Жмем “Добавить”

для DMZ
Переходим Домашняя сеть – Открытый сервер.
Вводим адрес компьютера для которого будет открыт полный доступ.

Проброс портов роутера Zyxel NBG334W EE

Переходим Network – NAT – Aplication
. Добавляем новое правило.Active
– ставим галочкуService Name
– название приложенияExternal port
– указываем нужный портServer IP Address
– ip ПКInternet port
– указываем нужный порт.

Для DMZ
Переходим Network – NAT – General
. Ставим галочку – Enable NAT
и вводим адрес компьютера для которого будет открыт полный доступ.

Проброс портов роутера Zyxel NDMS 2.0

Переходим в Безопасность – Трансляция сетевых адресов (NAT)
.Интерфейс
– В зависимости типа авторизации (PPPoE, L2TP или PPTP), значение этого поля может быть разным. Если авторизации не используется – выбираем интерфейс Broadband connection (ISP).Пакеты на адрес
– не заполняемПротокол
– выбирается нужный протоколПорты TCPUDP
– вводится нужный портПеренаправить на адрес
– ip адрес ПК

Проброс портов роутера Zyxel P-330 EE

Переходим в Advanced – Virtual Servers
, ставим галочку Enable Virtual Servers
.Servers
– не заполняетсяLocal IP Address
– ip адрес ПКProtocol
– выбирается нужный протоколPort Range
– указываем нужный порт.Descrition
– название приложения.

Для DMZ
Переходим Advanced – DMZ
. Вводим адрес компьютера для которого будет открыт полный доступ.

Проброс портов Zyxel Keenetic

Если требуется осуществить перенаправление, открытие, проброс портов на роутере Zyxel Keenetic, то ниже представлено подробное руководство по грамотному решению поставленной задачи на примере второй модификации Zyxel Keenetic 4G и версии Кинетик Giga, но эта инструкция лишь с небольшими отличиями подойдет и для настройки портов других моделей Зиксель, например, если пользователь использует маршрутизатор 3 поколения «Keenetic 4g III», то незначительно некоторые наименования и внешний вид меню могут различаться, поэтому при возникновении сложностей рекомендуется обратиться к руководству по эксплуатации конкретной модели.

Процедура настройки открытия портов Зиксель Кинетик

Производитель этой марки роутеров запретил все входящие подключения из внешней мировой сети к ПК и другим девайсам внутренней сети. Однако компьютера или мобильные гаджеты локальной сети имеют возможность сами открыть нужные соединения через протокол «UPnP». Например, при загрузке в ПК приложения, использующего внешние соединения с интернетом, автоматически создаются допускающие правила в Кинетик через «UPnP». Чтобы открыть доступ из всемирной паутины к локальному девайсу потребуется просто активировать в нем «UPnP». А для соответствия параметров Кинетик требуется установить «Службу UPnP».

Конечно, случается, что иногда невозможно применить этот протокол. В этом случае потребуется самостоятельный ввод параметров для трансляции сетевых IP (NAT).

При точно известном протоколе и номере порта применяемой в приложении пользователя либо локальном девайсе, открытие производится, как показано в следующем разделе этой статьи. А в случае отсутствия информации о протоколе и номере порта рекомендуется осуществить проброс всех портов на ПК или другой домашний гаджет, просто в роутере необходимо будет создать правило открытия, но, не прописывая номера порта.

Пример проброса портов Zyxel Keenetic

Для соединения из всемирной сети к внутреннему серверу FTP, функционирующему на сетевом накопителе серии «NSA», необходимо использовать микроприложение «NDMS V2».

Сначала требуется узнать номер порта, применяемого сервером, чтобы потом в интерфейсе роутера открыть порт TCP/UDP поступающих подключений.

Необходимо выполнить следующие несколько действий:

1. В интерфейсе NSA войти окно «Приложения» и перейти в раздел «FTP»;
2. Далее посмотреть пункт «Номер порта» (на рисунке ниже обведен красной рамкой);
3. Если потребуется, то номер можно подкорректировать;

Теперь можно приступить к процессу настройки. Для этого открыть интерфейс маршрутизатора и привязать «Айпи» к «MAC» девайса, у которого требуется открыть порт. Важно, чтобы IP домашнего устройства был статическим и не менялся. При постоянном адресе ниже представленный этап надо пропустить.

Требуется сделать следующие шаги:

1. Открыть окно «Системный монитор»;
2. Далее перейти в закладку «Домашняя сеть»;
3. Затем в части «Перечень подключенных девайсов» кликнуть «Закрепить IP».
4. После этого в отобразившемся меню «Регистрации девайса» поставить отметку в пункте «Постоянный IP»;
5. Кликнуть «Зарегистрировать».

Затем, чтобы настроить проброс портов следует произвести несколько последовательных действий:

1. Открыть окно «Безопасность»;
2. Далее перейти в закладку «Трансляция NAT»;
3. Кликнуть «Добавить правило»;
4. Ввести все параметры, указанные на рисунке ниже:
5. Переписав с картинки все данные и внимательно сверив их с параметрами, указанными в договоре с провайдером (некоторые пункты могут отличаться, поэтому при необходимости вести корректировки), нажать на «Сохранить».

Также эту же процедуру допускается произвести с применением командной строки. Используемые команды для этого: «>ip static tcp ISP 21 192.168.1.33 21» и «>system config-save».

На примере Zyxel Keenetic 4G II

Потребуется сделать следующие шаги:

1. В адресном поле любого интернет-обозревателя напечатать «192.168.1.1» и щелкнуть «Ввод»;
2. Затем открыть вкладку «Безопасность»;
3. Войти в раздел «Межсетевой экран»;
4. Указать «Home Network»;
5. Кликнуть «Добавить правило»;
6. Ввести параметры в точности как указано на рисунке и кликнуть «Сохранить».
7. Готово!

При необходимости пробросить дополнительный порт, то требуется добавить правило.

Наиболее часто возникающие проблемы

Бывает, что даже при полностью правильном указании всех параметров в настройках при пробросе портов, они не функционируют должным образом. Это случается из-за следующих причин:

1. Миниприложение «NDMS V2» маршрутизатора не поддерживает «NAT Loopback». В роутерах с этим приложением 2-го поколения функция «NAT Loopback» уже присутствует по умолчанию. Рекомендуется произвести обновление;
2. В меню «Безопасность» в разделе «Трансляция NAT» указан неверный интерфейс. Рекомендуется проверить корректность указанного интерфейса, получающего выход в глобальную сеть и посредством которого необходимо открыть вход в локальный девайс:
3. в случае выхода в сеть через отдельный кабель «Ethernet», рекомендуется применять интерфейс «Broadband connection»;
4. в случае соединения по Вай-фай необходимо указать «Wi-Fi client»;
5. если используется сотовая связь, то применить [Имя мобильной компании] (UsbModem0);
6. Чтобы открыть какое-нибудь устройство домашней сети из всемирной паутины, требуется иметь публичный «Айпи» на WAN маршрутизатора.
7. Есть поставщики услуг связи, которые применяют сортировку поступающего трафика абонентов по обычным протоколам и портам. Поэтому надо выяснить производит ли поставщик услуг связи блокировку трафика некоторых портов. Если так, то рекомендуется самостоятельно подобрать номер порта, чтобы он не блокировался (к примеру, если проблемы появились с № 21, то просто изменить его на №2121). Когда подобную ручную корректировку произвести невозможно, то применить «подмену порта».

Аналогичную процедуру допускается осуществить с использованием командной строки. Применяемые команды: «>ip stаtic tcp ISP 2121 192.168.1.33 21» и «>system config-save».