DMZ в роутере - это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера. Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки интернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения.

Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.

DMZ - это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:

1. Ввести в настройках DMZ роутера IP видеорегистратора
2. Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS

Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?

Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.

Проброс портов через роутер

В нашей статье мы детально разберем понятие DMZ. Попытаемся дать ответы на вопросы о том, что такое DMZ, как оно появилось, и как настроить DMZ. Каждый сможет почерпнуть для себя как минимум общие сведения по этой теме.

Причины появления демилитаризованных зон

Сейчас всё реже и реже можно встретить какие-либо компании без компьютеров. А там, где есть компьютеры, имеется и внутренняя локальная сеть, объединяющая их воедино.

Само по себе наличие общей внутренней локальной сети - это очень практично и безопасно. Но с появлением всемирной сети Интернет всё стало чуточку сложнее. Сейчас абсолютное большинство компаний пользуются услугами Всемирной паутины. Это весьма облегчает рабочий процесс, так как каждый может в считанные секунды найти любую интересующую его информацию.

Но с развитием Интернета появилась и угроза проникновения в общую локальную сеть компании извне. В первую очередь, это касалось компаний, имеющих публичные интернет-сервисы, доступные любому пользователю Всемирной сети. Опасность состояла в том, что злоумышленник, получив доступ к вэб-сервису, мог так же получить доступ к личной информации, хранящейся на любом из компьютеров, подключенных ко внутренней локальной сети. Это вызвало ряд трудностей, которые решаются путем создания DMZ.

Первоисточник

Первое, что стоит знать о DMZ, что это, в первую очередь, военный термин, берущий свое начало от обозначения «демилитаризованная зона». Он означает определенный участок территории, расположенный между двумя противоборствующими государствами. На нем запрещены любые формы военной деятельности - будь то спецоперация, диверсия или шпионаж.

Демилитаризованная зона DMZ: архитектура и осуществление

Из толкования первоначального термина нам становится ясно, DMZ - это определенный участок местности, на котором запрещены любые виды вредоносной деятельности. И это крайне удачно характеризует всю суть данной, скажем так, уловки.

Нам следует уяснить о самой концепции DMZ, что это крайне простое решение, представляющее собой создание отдельного сегмента компьютерной сети, изолируемого от всех внешних интернет-хостингов и от внутренней сети компании. Также это ограничение контроля или полный запрет доступа как к сети Интернет, так и во внутреннюю сеть.

Создать отдельный сегмент сети достаточно легко. Для этого используются межсетевые экраны или же файрволы. Само слово "файрвол" рядовому пользователю может быть известно по фильмам об известных хакерах, но мало кто знает, что же он собой представляет.

Межсетевой экран - это программно-аппаратная единица компьютерной сети, разделяющая ее на секторы и позволяющая фильтровать поступающий сетевой трафик по заданным оператором (администратором) правилам. Также, в случае несанкционированного проникновения, злоумышленник получает доступ лишь к тем файлам, которые находятся в рамках отделенного сектора, без ущерба для остальных.

Существует, как минимум, два вида конфигурации демилитаризованных зон - с одним межсетевым экраном или же со множеством. В первой конфигурации межсетевой экран разделяет сеть на три сектора:

• внутренняя сеть;
• интернет-канал.

Но всё же этот способ обеспечивает недостаточный уровень защиты. В большинстве крупных фирм всё-таки используется второй способ - с большим количеством файрволов. В этом случае злоумышленнику придется преодолеть уже, как минимум, один дополнительный системный периметр со своим фильтром трафика, что значительно увеличивает безопасность.

Настройка

Уверены, многие уже в достаточной мере осведомились о DMZ, что это простой и действенный способ обеспечить безопасность вашей компьютерной сети. Пользователи многоканальных интернет-роутеров могут сами оценить эту гениальную уловку для хакеров.

Всё, что требуется для настройки DMZ, это вывести одно устройство как локальную сеть, подключив его, соответственно, через отдельный шнур в свободное гнездо роутера, затем присвоить ему статичный IP-адрес, после чего активировать в окне DMZ и перезапустить устройство.

Перед всеми манипуляциями следует убедиться, что на всех устройствах установлены последние версии защиты. После этого вы можете свободно использовать эту хоть и простую, но эффективную защиту от посягательства на ваши личные данные.

В этой статье были кратко изложен3ы все самые важные факты о DMZ: что это такое, как оно работает, и, главное, его предназначение.

В этой статье я расскажу, что такое DMZ хост или сервер на роутере. А также как открыть порты с помощью функции DMZ. Раз вы уже читаете эту статью, то наверняка вы уже знаете, что такое виртуальный сервер и для чего это нужно делать. Если нет, то . Если коротко — то открыть порт на роутере нужно в том случае, когда вы с компьютера обмениваетесь файлами с другими пользователями интернета. Например, для работы запущенного на домашнем ПК FTP-сервера, либо торрент-клиента, либо сетевой игры. В этой статье мы научимся открывать сразу все порты при помощи так называемого DMZ-хоста на примере роутеров TP-Link, Asus, Zyxel Keenetic и Tenda

DMZ («демилиторизованная зона») — это технология, с помощью которой можно открыть абсолютно все порты на одном конкретном устройстве

Как использовать сервер DMZ на маршрутизаторе?

С помощью описанного выше методы мы с помощью роутера открываем лишь один порт для одного устройства в сети. Через DMZ-хост можно открыть сразу несколько портов. Однако, делать это нужно лишь в крайних случаях, так как в таком случае устройство оказывается абсолютно открытым для доступа из интернета. Однако иногда это делать необходимо, например, для настроек просмотра камер видеонаблюдения, подключенных через регистратор, или для организации игрового сервера.

Приведу пример — часто при подключении регистратора видеонаблюдения по умолчанию используется порт 80 и поменять его в настройках просто невозможно. В то же самое время на маршрутизаторе этот порт также занят и перенаправить его не получится. В этом случае на помощь приходит DMZ-хост на роутере.

Виртуальный сервер DMZ на роутере Tenda

В wifi роутерах Tenda функция открытия портов называется «Виртуальный сервер «. В админке ее можно найти в разделе «Дополнительные настройки — Виртуальный сервер»

Но сначала необходимо назначить статический IP адрес для компьютера, на который вы хотите сделать перенаправление портов, иначе при следующем включении по DHCP роутер может присвоить ему другой адрес и все наши настройки собьются. Как это сделать, читайте .

Когда за компьютером зарезервирован определенный адрес, вписываем его в разделе «Виртуальный сервер» в ячейке «Внутренний IP адрес».

• Порт локальной сети — выбираем из списка наиболее подходящий под наши нужды из выпадающего списка — ftp, http, pop3, SMTP и так далее…
• WAN порт — указываем тот же, что и в предыдущем случае
• Протокол — ставим TCP&UDP

И нажимаем кнопку «Добавить»

После сохранения настроек, порт через роутер Tenda откроется и мы сможем без проблем предоставить доступ из интернета к тем или иным ресурсам на компьютере.

Активация DMZ хоста на wifi роутере Tenda находится в «Дополнительных настройках». Здесь все просто — переводим тумблер во включенное положение и вписываем IP адрес компьютера или иного устройства, на котором мы хотим открыть все порты

Настройка DMZ на роутере TP-Link

Функция DMZ на роутере TP-Link в новой версии веб-интерфейса находится в «Дополнительных настройках» в разделе «NAT переадресация — DMZ «. Здесь все просто — включаем его галочкой и указываем IP адрес компьютера, на котором откроются все порты.

DMZ-хост на роутере Asus

На маршрутизаторе Asus настройка DMZ хоста идентична, а находится она в основном разделе меню «Интернет »

Настройка DMZ Zyxel Keenetic

На роутере Zyxel Keenetic тоже имеется подобная функция, но она не называется DMZ, а скрыта в разделе «Безопасность — Межсетевой экран «.

Сначала выбираем здесь тип сети, в которую хотим разрешить доступ — это Home Network (Домашняя сеть)
И далее нажимаем на кнопку «Добавить правило»

Далее оставляем все по умолчанию, кроме одного пункта — «IP адрес назначения». Здесь нужно выбрать «Один» и в текстовом поле написать IP адрес компьютера, на котором надо открыть все порты. Обратите внимание, что в графе «Протокол» сейчас выбираем TCP.

Делаем все, как на картинке ниже:

На обновленной линейке Keenetic DMZ настраивается тоже в рубрике «Межсетевой экран «. Жмем тут «Добавить правило»

Включаем его галочкой и прописываем все то же самое, как и в старой версии Zyxel

Для расширения кругозора также советую прочитать инструкцию от компании Зайксель.

Видео по настройке DMZ Host на маршрутизаторе

ДЕМИЛИТАРИЗОВАННАЯ (DMZ) ЗОНА

Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей - там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью, защищенной (или отделенной) от публичных и корпоративных сетей межсетевыми экранами.

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана - один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети. Именно такую схему будем использовать для организации демилитаризованной зоны корпорации CorpUTY.

В DMZ вынесем почтовый, web- и FTP-серверы, а также внешний DNS и сервер удаленного доступа RAS.

Cеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим - от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй - в DMZ и третий - в локальную сеть.

Сетевой адаптер, подключенный к Интернету, будем называть WAN, интерфейс, подключенный к демилитаризованной зоне, - DMZ, а к локальной сети - LAN.

На рис. 8 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй - к DMZ и LAN, в случае «б» - один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рисунок 8. Варианты развертывания межсетевого экрана и демилитаризованной зоны

При реализации второго варианта необходимо обратить внимание на его недостатки. Прежде всего, это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие - поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера - это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «а» можно превратить в вариант «б», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

Для создания промежуточной DMZ, использующей два брандмауэра на базе ISA Server, понадобится два сервера, две копии Windows 2000 или 2003, две копии ISA Server, четыре сетевых интерфейса (по два на каждый сервер) и коммутатор для DMZ. Часто такие затраты оказываются слишком большими для компании.

При проектировании корпоративной сети CorpUTY будем использовать вариант «а», но в качестве внутреннего межсетевого экрана будет использоваться ISA Server 2004, а в качестве внешнего - маршрутизатор Сisco Catalyst 3800.

Продолжая использовать продукты компании Сisco, выберем в качестве пограничного маршрутизатора между внешним межсетевым экраном и Internet маршрутизатор Сisco Catalyst 3800. Это устройство поддерживает различные интерфейсные модули WAN и обеспечивает поддержку высокопроизводительной маршрутизации на скорости носителя, а также предоставляет встроенные функции защиты и возможности конвергенции, что позволяет надёжно защитить связь между филиалами компаний и одновременно реализовать централизованное управление из главного офиса. Кроме того, выбранный маршрутизатор поддерживает функции межсетевого экрана с учётом состояний, а также механизм защиты от атак Cyber Attack Defense Engine, приостанавливающий типичные атаки на сети, обеспечивая высокий уровень доступности критически важных Интернет- приложений. Кроме того, межсетевой экран поддерживает механизм адресации NAT и возможность переадресации портов.

Поскольку в выбранный маршрутизатор встроен так называемый packet filter, то необходимость в использовании отдельного (standalone) межсетевого экрана для отделения DMZ от Internet отпадает.

Протокол NAT

Большинство современных маршрутизаторов поддерживают протокол NAT (Network Address Translation), базирующийся на сеансовом уровне и по сути представляющий собой протокол трансляции сетевых адресов. NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети.

Протокол NAT решает две главные задачи:

помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров;

обеспечивает безопасность внутренней сети -- компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.

Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.

Принцип работы протокола NAT достаточно прост. Когда клиент внутренней сети устанавливает связь с сервером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, то IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и портсервера.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт.

Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Было принято решение использовать программный межсетевой экран. Для этого необходимо выделить отдельную довольно мощную машину с несколькими интерфейсами. В качестве программного файрволла предполагается использовать Microsoft ISA Server 2004 Standard Edition.

К одному из интерфейсов компьютера с программным межсетевым экраном подключается внутренняя сеть здания A (inside). К другому - коммутатор для объединения серверов, вынесенных в DMZ-зону (выберем Cisco Catalyst 2960). При выборе данного коммутатора останется запас портов, поэтому добавление серверов в DMZ-зону в будущем не составит труда.

Microsoft Internet Security and Acceleration (ISA) Server выполняет функции защитного экрана масштаба предприятия и Web-кэша. ISA Server может быть установлен в трех режимах: либо в качестве кэширующего сервера (proxy-сервера), либо в качестве брандмауэра, либо в интегральном режиме (этот режим обеспечивает как функции кэширования, так и функции защитного экрана). Поскольку мы используем ISA Server в качестве брандмауэра, необходимо будет выбрать либо режим Firewall, либо Integrated. С помощью ISA Server можно отслеживать процессы доступа клиентов внутренней сети к ресурсам Internet.

Внутренняя сеть задается вводом соответствующего диапазона IP-адресов в таблицу локальных адресов Local Address Table (LAT) на ISA Server. Поскольку ISA Server позволяет вести только одну LAT, можно будет обеспечить полноценную защиту лишь одной сети (внутренней).

Для настройки политик использования входящего и исходящего трафика на ISA Server применяются правила доступа к сайтам и типу содержимого, правила использования протоколов, фильтры IP-пакетов, правила Web-публикаций и правила публикации серверов. Правила доступа к сайтам и типу содержимого управляют доступом и временем доступа внутренних пользователей к определенным внешним сайтам или их содержимому по типу этого содержимого. Правила протоколов управляют тем, какими протоколами могут пользоваться внутренние клиенты для доступа к компьютерам в Internet. Фильтры пакетов IP позволяют управлять тем, какие типы пакетов ISA Server будет принимать из Internet, а какие -- от внутренних компьютеров. Например, можно использовать IP-фильтр, чтобы разрешить прохождение пакетов Ping или PPTP. Правила Web-публикаций позволят сделать внутренние Web-серверы доступными внешним клиентам из Internet. С помощью этих правил можно управлять входящими Web-запросами в зависимости от соответствующих учетных записей, адресов клиентов, целевых адресов и пути. При помощи правил публикации серверов можно будет сделать доступными для внешнего мира другие серверы (например, SMTP-серверы). Правила публикации серверов позволят управлять входящими запросами к этим серверам в зависимости от IP-адреса клиента.

Когда внутренний клиент пытается подсоединиться к компьютеру в Internet, ISA Server проверяет запрос на соответствие правилам использования протоколов. Если этот запрос является HTTP или HTTP Secure (HTTPS), ISA Server дополнительно проверяет его на соответствие правилам доступа к сайтам и по типу содержимого сайтов. Когда ISA Server принимает входящий запрос с клиента Internet, ISA Server проверяет его на соответствие фильтру IP-пакетов. Если запрос является запросом HTTP или HTTPS, ISA Server дополнительно проверяет его на соответствие правилам Web-публикации; в других случаях ISA Server проверяет запрос на соответствие правилам публикации серверов.

На данный момент я расскажу об очень полезной функции для тех, кто держит дома игровой сервер, либо необходимо открыть доступ к регистратору камер видео-наблюдения из внешней сети. Обычно, для этих целей обычно приходится пробрасывать порты, но временами можно столкнуться с рядом сложностей. Например, когда на на видео-регистраторе под веб-интерфейс употребляется порт 80 и поменять его нельзя, а на WiFi-роутере он тоже занят и прокинуть его не получится. Некоторые админы прибегают к перенаправлению с помощью файрвола. Но есть способ проще; просто добавить IP в специальную зону DMZ на роутере. После этого доступ к устройству из-вне будет открыт полностью. Давайте остановимся на этом подробнее.
Демилитаризованная зона; DMZ (DeMilitarized Zone) ; это особенный сектор локальной сети в который выводятся сервисы, к которым должен быть открыт полный доступ как из внутренней сети, так и из внешней. При всем этом личная сеть по-прежнему закрыта за роутером. Никаких различий в её работе не будет. А вот ДМЗ-хост теперь полностью доступен из Интернета и обеспечивает свою безопасность сам. Другими словами все его открытые порты видны из вне по белому; Ip-адресу. В случае с регистратором достаточно просто поменять использующийся по-умолчанию пароль, а вот если это игровой сервер, то стоит уделить особенное внимание настройкам межсетевого экрана.

Настройка Демилитаризованной Зоны на роутере или модеме

Простые дешевенькие маршрутизаторы организовать полноценную Демилитаризованную Зону для целого сектора не могут, да от устройств этого класса такого и не требуется. Зато они позволяют вывести в неё только один из узлов сети, сделав из него DMZ-хост, открыв во внешнюю сеть все его доступные порты. А нам это и нужно! Как это сделать?
Запускаем браузер, вводим ip-адрес роутера (обычно это 192.168.1.1 или 192.168.0.1) и попадаем в веб-конфигуратор. А дальше необходимо в меню найти раздел DMZ;. У устройств от Asus ; это вкладка в разделе Интернет;:

На TP-Link ; это подпункт раздела Перенаправление; (Forwarding):

У роутеров D-Link эта функция находится в Межсетевом экране. На некоторых моделях, у Zyxel Keenetic например, она может быть расположена в параметрах NAT.
Способ следующих действий прост; необходимо включить функцию, поставив соответствующюю галочку.
Ниже будет поле, в которое необходимо ввести Ip-адрес сервера, компьютера или видео-регистратора, который мы выведем в ДМЗ.
Применяем функции. Готово!