Одной из довольно распространённых задач, при настройке небольших, чаще всего – домашних локальных сетей, является организация демилитаризованной зоны (DMZ) для определённого компьютера. Одним словом, чтобы все приходящие запросы, не зависимо от порта, попадали на конкретный IP адрес минуя NAT и Firewall маршрутизатора. Чаще всего, это бывает необходимо для организации различных сервисов на конкретном компьютере, например, игровых серверов и т.д.
Если речь идёт о бытовых (SOHO) маршрутизаторах, таких как большинство моделей популярных ныне марок: D-Link, TP-Link, Asus и прочие, то там всё довольно просто. Достаточно найти в интерфейсе меню DMZ, поставить “галочку” и вписать нужный IP адрес. А вот в Mikrotik Router OS отдельного пункта, такого как DMZ, попросту нет. И часто многих это ставит в тупик. Так как же настроить демилитаризованную зону в маршрутизаторах Mikrotik?
Но реально, всё довольно просто, ведь DMZ, это по сути, обычное перенаправление портов dstnat, только для всех портов сразу и независящее от протокола.
Делается это вот такой командой:
/ip firewall nat add chain=dstnat in-interface=[WAN_Interface] action=dst-nat to-addresses=[IP_Address_of_DMZ_host]
Где [WAN_Interface] – интерфейс к которому подключён ваш провайдер, например ether1 или pppoe1, если вы подключаетесь к провайдеру по протоколу PPPoE. И [IP_Address_of_DMZ_host], это IP адрес компьютера, который и будет демилитаризован.
Например, если ваш провайдер подключён по протоколу PPPoE и имеет имя интерфейса pppoe1, а у компьютера, для которого нужно создать DMZ, IP адрес 192.168.88.3, то эта команда будет выглядеть как:
/ip firewall nat add chain=dstnat in-interface=pppoe1 action=dst-nat to-addresses=192.168.88.3
Рис.1
Проверить правильность этих действий, можно командой:
/ip firewall nat print
Она должна отобразить все существующие записи NAT, в том числе и созданную нами.
Если же вы привыкли использовать GUI интерфейс, то это можно сделать следующим образом. Открыть меню IP Firewall, перейти на вкладку NAT и добавить новое правило.
Вкладка General.
Chain: dstnat
In. interface: pppoe1
Рис.2
Вкладка Action
Action: dst-nat
To addresses: 192.168.88.3
Рис.3
Но бывают ещё такие случаи, например, когда вам необходимо сохранить доступ к маршрутизатору извне (из Интернета), скажем по протоколу SSH. Для этого нам необходимо оставить доступ по 22 порту именно к Mikrotik. Это тоже довольно просто. Достаточно задать команду:
/ip firewall nat add chain=dstnat in-interface= [WAN_Interface] protocol=tcp dst-port=22 action=accept
Где [WAN_Interface] – интерфейс к которому подключён ваш провайдер.
Только хочу обратить ваше внимание на то, что в этом случае, эта запись должна быть выше чем запись с демилитаризацией определённого компьютера, так как правила NAT выполняются в порядке очереди.
Источник http://asp24.com.ua/blog/mikrotik-router-os-nastrojka-demilitarizovannoj-zony-dmz/
RSS & RSS to Email
Спасибо за детальное объяснение!
А Как же настройки правил firewall?
Злоумышленник, попав на ваш сервер в DMZ, элементарно попадает во все ваши сети, подключенные к Микротику!!!
Зона DMZ это не только port forwarding, но и запрет попадать с зоны еще куда либо, кроме интернета. А это делается через firewall и/или route rule
Смысл DMZ не в том, чтобы пробросить порты, а в том, чтобы изолировать общедоступный сервер от локальной сети.
Кто-то реально не понял что такое dmz?