Меню

Настройка dmz zyxel usg

Как Создать DMZ Хост и Виртуальный Сервер На Роутере?

В этой статье я расскажу, что такое DMZ хост или сервер на роутере. А также как открыть порты с помощью функции DMZ. Раз вы уже читаете эту статью, то наверняка вы уже знаете, что такое виртуальный сервер и для чего это нужно делать. Если нет, то читаем тут. Если коротко — то открыть порт на роутере нужно в том случае, когда вы с компьютера обмениваетесь файлами с другими пользователями интернета. Например, для работы запущенного на домашнем ПК FTP-сервера, либо торрент-клиента, либо сетевой игры. В этой статье мы научимся открывать сразу все порты при помощи так называемого DMZ-хоста на примере роутеров TP-Link, Asus, Zyxel Keenetic и Tenda

DMZ — что это в роутере?

DMZ («демилиторизованная зона») — это технология, с помощью которой можно открыть абсолютно все порты на одном конкретном устройстве

Как использовать сервер DMZ на маршрутизаторе?

С помощью описанного выше методы мы с помощью роутера открываем лишь один порт для одного устройства в сети. Через DMZ-хост можно открыть сразу несколько портов. Однако, делать это нужно лишь в крайних случаях, так как в таком случае устройство оказывается абсолютно открытым для доступа из интернета. Однако иногда это делать необходимо, например, для настроек просмотра камер видеонаблюдения, подключенных через регистратор, или для организации игрового сервера.

Приведу пример — часто при подключении регистратора видеонаблюдения по умолчанию используется порт 80 и поменять его в настройках просто невозможно. В то же самое время на маршрутизаторе этот порт также занят и перенаправить его не получится. В этом случае на помощь приходит DMZ-хост на роутере.

Виртуальный сервер DMZ на роутере Tenda

В wifi роутерах Tenda функция открытия портов называется «Виртуальный сервер». В админке ее можно найти в разделе «Дополнительные настройки — Виртуальный сервер»

Но сначала необходимо назначить статический IP адрес для компьютера, на который вы хотите сделать перенаправление портов, иначе при следующем включении по DHCP роутер может присвоить ему другой адрес и все наши настройки собьются. Как это сделать, читайте тут.

Когда за компьютером зарезервирован определенный адрес, вписываем его в разделе «Виртуальный сервер» в ячейке «Внутренний IP адрес».

И нажимаем кнопку «Добавить»

После сохранения настроек, порт через роутер Tenda откроется и мы сможем без проблем предоставить доступ из интернета к тем или иным ресурсам на компьютере.

Активация DMZ хоста на wifi роутере Tenda находится в «Дополнительных настройках». Здесь все просто — переводим тумблер во включенное положение и вписываем IP адрес компьютера или иного устройства, на котором мы хотим открыть все порты

Читайте также:  Настройка dir 615 ipoe

Настройка DMZ на роутере TP-Link

Функция DMZ на роутере TP-Link в новой версии веб-интерфейса находится в «Дополнительных настройках» в разделе «NAT переадресация — DMZ». Здесь все просто — включаем его галочкой и указываем IP адрес компьютера, на котором откроются все порты.

DMZ-хост на роутере Asus

На маршрутизаторе Asus настройка DMZ хоста идентична, а находится она в основном разделе меню «Интернет»

Настройка DMZ Zyxel Keenetic

На роутере Zyxel Keenetic тоже имеется подобная функция, но она не называется DMZ, а скрыта в разделе «Безопасность — Межсетевой экран».

Сначала выбираем здесь тип сети, в которую хотим разрешить доступ — это Home Network (Домашняя сеть)
И далее нажимаем на кнопку «Добавить правило»

Далее оставляем все по умолчанию, кроме одного пункта — «IP адрес назначения». Здесь нужно выбрать «Один» и в текстовом поле написать IP адрес компьютера, на котором надо открыть все порты. Обратите внимание, что в графе «Протокол» сейчас выбираем TCP.

Делаем все, как на картинке ниже:

И жмем на кнопку «Сохранить». После этого добавляем еще одно правило — точно такое же, только для протокола «UDP». В итоге должна получиться вот такая картина

На обновленной линейке Keenetic DMZ настраивается тоже в рубрике «Межсетевой экран». Жмем тут «Добавить правило»

Включаем его галочкой и прописываем все то же самое, как и в старой версии Zyxel

Для расширения кругозора также советую прочитать инструкцию от компании Зайксель.

Источник

Пример настройки проброса порта в аппаратном шлюзе серии ZyWALL USG

Как настроить аппаратный шлюз серии ZyWALL USG для проброса трафика, использующего порт 1234 на сервер в локальной сети?

В данной статье рассмотрим пример создания правила проброса (перенаправления) порта 1234 на сервер в локальной сети.

1. Создание объектов

1.2 Создайте объект типа HOST (Address Type = HOST). В данном объекте указывается IP-адрес сервера (IP Address), на который должен транслироваться трафик. В нашем примере это объект Server_DMZ.

1.3 Зайдите в меню Configuration > Object > Service для cоздания сервисов.

Создайте сервисы Service_1234_TCP и Service_1234_UDP для определения номера TCP/UDP-порта (в нашем примере используется порт 1234).

1.4 Перейдите на закладку Service Group и создайте общую группу Service_1234 для созданных сервисов Service_1234_TCP и Service_1234_UDP (эта группа понадобится в дальнейшем при создании правила межсетевого экрана Firewall).

2. Настройка NAT

2.2 Создайте правило NAT для интерфейса wan1ppp, используя порт(ы) в качестве типа трансляции трафика (Port Mapping Type = Port).

2.3 Создайте правило NAT для интерфейса wan1, используя ранее созданные сервисы (в нашем примере Service_1234_TCP и Service_1234_UDP) в качестве типа трансляции трафика (Port Mapping Type = Service).

Читайте также:  Как восстановить ноутбук hp pavilion dv6 до заводских настроек

3. Настройка межсетевого экрана Firewall

3.1 Зайдите в меню Configuration > Network > Zone для настройки зоны. В нашем примере зона WAN включает интерфейсы wan1 и wan1_ppp, а зона DMZ включает интерфейс dmz.

Правило Firewall для wan1 и wan1_ppp будет выглядеть одинаково, т.к. эти интерфейсы входят в одну зону WAN.

Источник

Описание схемы разделения публичной и закрытой Wi-Fi-сети с помощью VLAN на шлюзе безопасности серии ZyWALL USG

Как настроить аппаратный шлюз серии ZyWALL USG для разделения беспроводных сетей офиса с помощью VLAN?

В данной статье описаны настройки аппаратного шлюза серии ZyWALL USG, предназначенные для разделения беспроводных сетей офиса с помощью VLAN.
Одна беспроводная сеть должна быть предназначена для подключения сотрудников (это закрытая безопасная сеть с доступом к локальным ресурсам сети и Интернету), а другая беспроводная сеть – для подключения гостей (это открытая сеть с доступом только в Интернет).

Приведем пример. Предположим, имеется аппаратный шлюз ZyWALL USG, который может работать с VLAN (тегированным трафиком), и профессиональная беспроводная точка доступа NWA1121-NI, которая также может работать с VLAN.
Задача: Настроить две изолированные беспроводные сети (с разными SSID): одну без шифрования (открытую) и с доступом только в Интернет для гостей офиса, и другую, с использованием шифрования трафика (закрытую) с доступом до ресурсов локальной сети (с возможностью управления всеми устройствами) и с доступом в Интернет.

Рассмотрим следующую схему:

Локальные ресурсы (хосты) и точка доступа Wi-Fi (NWA1121-NI) подключены к разным портам (интерфейсам) аппаратного шлюза ZyWALL USG. Интерфейс шлюза, к которому подключается точка доступа, должен работать с тегированным трафиком и принимать два VLAN от точки доступа: гостевой беспроводной сети (SSID для гостей) и от основной беспроводной сети (SSID для сотрудников). Интерфейс, к которому подключаются локальные ресурсы и стационарные хосты сотрудников, – это локальная зона (должна работать с нетегированным трафиком).
Ограничение доступа для гостей будет осуществляться при помощи настроек межсетевого экрана (Firewall) на аппаратном шлюзе ZyWALL USG.

Настройку аппаратного шлюза будем производить через веб-конфигуратор устройства.

1. Настройка VLAN на ZyWALL USG для разделения двух беспроводных сетей (с разным SSID).

1.1. Для настройки Ethernet-интерфейсов зайдите в меню Сonfiguration > Network > Interface на закладку Ethernet.

На ZyWALL USG будут задействованы следующие интерфейсы:
wan1 – внешний (external) интерфейс, который получает IP-адрес от интернет-провайдера по DHCP.
dmz – интерфейс, который будет использоваться для подключения точки доступа Wi-Fi. На нем будут настроены VLAN. Нетегированный трафик данный интерфейс получать не должен, поэтому в настройках IP-адреса нужно установить 0.0.0.0.
lan1 – интерфейс для подключения стационарных хостов локальной сети офиса.

Дополнительную информацию по настройке интерфейсов шлюза безопасности серии ZyWALL USG можно найти в статье: «Настройка интерфейса шлюза безопасности серии ZyWALL USG»

Читайте также:  Что будет если вернуть биос к заводским настройкам

1.2. Для настройки VLAN зайдите в меню Сonfiguration > Network > Interface на закладку VLAN.

Настройка vlan3 для беспроводного подключения сотрудников:

Настройка vlan4 для беспроводного подключения гостей:

При настройке VLAN-интерфейса следует обратить внимание на следующие поля:

2. Настройка зон и правил Firewall.

2.1. Для настройки зон зайдите в меню Configuration > Network > Zone.

Зоны – это направления, которые используются при создании правил Firewall и сервисов Anti-X. В зоны включаются интерфейсы устройства. Название предустановленных зон и интерфейсов совпадают, но при этом VLAN-интерфейсы, созданные на базе dmz (как в нашем случае), можно привязывать к любым зонам вне зависимости от того, куда привязан родительский интерфейс. В данном примере использовались предустановленные зоны.
Зона LAN1 включает в себя интерфейс lan1 (куда подключаются стационарные хосты и ресурсы сети) и vlan3 (созданный для беспроводного подключения сотрудников). Так как для сотрудников все ресурсы локальной сети должны быть доступны, трафик между зонами не блокируется (на это указывает настройка Block intra-zone – no).
Зона DMZ используется для гостей, и в нее входит интерфейс vlan4. Интерфейс dmz также входит в эту зону, но в данном примере он не используется (на нем статически установлено значение 0.0.0.0 в качестве IP-адреса). В принципе, если есть необходимость, на этом интерфейсе можно развернуть сеть доступную гостям, в этом случае нужно выставить значение no для Block intra-zone, назначить на интерфейс dmz IP-адрес и подключить к нему через Ethernet-коммутатор необходимые хосты (ресурсы).

2.2. Для настройки правил межсетевого экрана Firewall зайдите в меню Configuration > Firewall.

Для нашей схемы практически используются правила Firewall по умолчанию. Для решения задач нашей статьи важны следующие правила:

В зависимости от задач правилами Firewall можно гибко отрегулировать необходимые параметры доступа для всех интерфейсов, а при необходимости и для конкретных IP-адресов или аутентифицированных пользователей. Подробно о настройках зон и правил Firewall в ZyWALL USG можно почитать в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Настройка точки доступа NWA1121-NI, используемой в нашей схеме, описана в статье: БЗ-3204

В описанной выше схеме, вместо аппаратного шлюза ZyWALL USG можно использовать интернет-центр серии Keenetic (с микропрограммой NDMS v2.00). Такая схема тоже будет работать. Пример настройки VLAN в интернет-центре серии Keenetic для разделения сетей доступа представлен в статье: KB-3222
Но обращаем ваше внимание, что использование интернет-центра, по сравнению с аппаратным шлюзом ZyWALL USG, имеет ограничения в гибкости настройки интерфейсов и правил межсетевого экрана (Firewall), а также отсутствует возможность настройки сервисов Anti-X для организации безопасности сети.

Источник

Adblock
detector