(!) Размещение сервера FTP на порту DMZ ADSL-маршрутизатора ZyXEL P-662H/HW

Как настроить DMZ-порт модема P-662H/HW для размещения в нем FTP-сервера?


Открытие доступа пользователям сети Интернет к ресурсам компьютеров локальной сети может быть небезопасным. Тем не менее различные приложения (например, ftp, web, почтовые серверы, некоторые игры, программы для видеоконференций и т. п.) требуют открытия на доступ извне различных портов для нормальной работы. В таких случаях можно настроить работу через DMZ-порт (от DeMilitarized ZoneДемилитаризованная Зона).
Сервер, расположенный в зоне DMZ, оказывается доступен внешним пользователям, будучи в то же время защищен от DoS-атак. Использование порта DMZ позволяет также разгрузить локальную сеть от серверного трафика и защищает внутренние компьютеры от атак из сети Интернет, скрывая их за межсетевым экраном.
Может быть организован доступ к серверам, находящимся в DMZ, из безопасной локальной сети, находящейся за NAT и/или межсетевым экраном.
Межсетевой экран Prestige 662 по умолчанию разрешает обмен трафиком между WAN и DMZ, пропускает трафик от LAN к DMZ и блокирует от DMZ к LAN. Таким образом, пользователи Интернета ограничиваются в доступе к ресурсам локальной сети, но имеют полноценный доступ к хостам на DMZ-порту. Это одно из основных преимуществ использования DMZ-порта.
В общем случае DMZ-сегмент сети находится в состоянии повышенной опасности подвергнуться атаке. Компьютер, расположенный в DMZ, с очевидностью может стать «перевалочным пунктом» для сетевых злоумышленников на пути их проникновения в локальную сеть. Тем не менее зачастую создание такой зоны – единственный способ обеспечить нормальное функционирование необходимых служб. Рекомендуется всю информацию, чувствительную к атакам, взлому и т. п., хранить на компьютерах локальной сети, но не на серверах, подключенных к DMZ-порту.
DMZ-порт в модеме Prestige 662 – это порт номер 1 (1/DMZ) на встроенном Ethernet-коммутаторе, и по умолчанию на нем установлен именно функционал DMZ, однако есть возможность задействовать его как еще один порт LAN (см. статью Базы Знаний KB-1221).

Для большей конкретизации рассмотрим простой пример. В нем будут участвовать локальная сеть, состоящая как минимум из одного компьютера, сервер ftp (в нашем примере это встроенный в ОС Windows XP - Internet Information Server) и ADSL-соединение с провайдером Интернета, осуществляемое с помощью модема ZyXEL Prestige 662 HW. Задача – обеспечить доступ пользователей из сети Интернет к нашим мультимедиа-архивам, сохранить возможность управления ftp-сервером и не допустить хакеров к ценной информации, находящейся в локальной сети.
Рассмотрим более подробно случай, когда будут использоваться частные IP-адреса на компьютерах, подключенных к порту DMZ.


Предположим, что на нашем сервере установлен и запущен ftp-сервер, входящий в Internet Information Services из состава Windows.


 




Для установки Internet Information Services нажмите Пуск - Панель управления, выберите Установка и удаление программ - Установка компонентов Windows, установите галочку напротив Internet Information Services (IIS), нажмите кнопку Состав и выберите Служба FTP, нажмите OK и затем Далее. По завершении работы мастера компонентов Windows нажмите Готово.
Для установки дополнительных компонентов Windows понадобится компакт-диск с дистрибутивом операционной системы Windows XP.




 


В операционной системе выберите Пуск - Панель управления - Администрирование - Internet Information Services и запустите это приложение.



Откроется окно программы, в котором выберите Узлы FTP, выделите FTP-узел по умолчанию, нажмите правой кнопкой мыши и в открывшемся контекстном меню выберите Свойства.



В Свойствах FTP-узла укажите IP-адрес и TCP-порт. По умолчанию используется порт 21, но если необходимо, то можно указать другой номер порта.
Для сохранения изменений нажмите Применить и OK.



С помощью веб-конфигуратора Prestige 662 в меню DMZ (Advanced SetupDMZ) настраиваются следующие параметры:



DMZ TCP/IP
IP Address. Указывается IP-адрес порта DMZ. Адрес должен принадлежать к другой подсети, чем адрес порта LAN.
IP Subnet Mask. Маска подсети автоматически будет рассчитана на основе введенного выше IP-адреса. Рекомендуется оставить рассчитанную маску либо указать нужную, в соответствии с организуемыми подсетями.

Windows Networking (NetBIOS over TCP/IP)
Allow between DMZ and LAN
. Разрешить (отметить галочкой) или блокировать трафик NetBIOS между LAN и DMZ. Если трафик нужно разрешить, то при включенном правиле по умолчанию межсетевого экрана конфигурируется дополнительное разрешающее правило.
Allow between DMZ and WAN. Разрешить (отметить галочкой) или блокировать трафик NetBIOS между WAN и DMZ.


Так как мы будем использовать для FTP-соединений порт 2121, то в настройках трансляции IP-адресов нужно указать перенаправлять все пакеты, приходящие в модем со стороны DSL с портом 2121, на внутренний адрес FTP-сервера.
В меню Advanced SetupNATSUA Only нажмите Edit Details.



Чтобы сделать сервер видимым для внешних пользователей, достаточно задать номер порта и IP-адрес сервера.
В полях Start Port No. и End Port No. указываем номер порта, по которому нужно открыть доступ к нашему FTP-серверу. В поле IP Address указываем внутренний IP-адрес сервера.



Нажмите Save для сохранения настроек и затем Apply для применения правил трансляции.


Межсетевой экран Prestige 662 по умолчанию разрешает обмен трафиком между WAN и DMZ, пропускает трафик от LAN к DMZ и блокирует от DMZ к LAN. Таким образом, пользователи Интернета ограничиваются в доступе к ресурсам локальной сети, но имеют полноценный доступ к хостам на DMZ-порту. При необходимости доступ к локальной сети может быть предоставлен путем создания специального разрешающего правила фильтрации.



В этом примере мы рассмотрели случай, когда используются частные IP-адреса на компьютерах, подключенных к порту DMZ. Но можно использовать и публичные IP-адреса на DMZ-порту модема P-662H/HW. Для этого необходимо, чтобы публичные адреса на WAN и DMZ были из разных подсетей. Нужно использовать Full Feature NAT, в котором настроить правила трансляции адресов между WAN- и LAN-адресами и не настраивать правила трансляции между адресами WAN и DMZ.

KB-1401

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0