Как настроить DMZ-порт модема P-662H/HW для размещения в нем FTP-сервера?
Открытие доступа пользователям сети Интернет к ресурсам компьютеров локальной сети может быть небезопасным. Тем не менее различные приложения (например, ftp, web, почтовые серверы, некоторые игры, программы для видеоконференций и т. п.) требуют открытия на доступ извне различных портов для нормальной работы. В таких случаях можно настроить работу через DMZ-порт (от DeMilitarized Zone – Демилитаризованная Зона).
Сервер, расположенный в зоне DMZ, оказывается доступен внешним пользователям, будучи в то же время защищен от DoS-атак. Использование порта DMZ позволяет также разгрузить локальную сеть от серверного трафика и защищает внутренние компьютеры от атак из сети Интернет, скрывая их за межсетевым экраном.
Может быть организован доступ к серверам, находящимся в DMZ, из безопасной локальной сети, находящейся за NAT и/или межсетевым экраном.
Межсетевой экран Prestige 662 по умолчанию разрешает обмен трафиком между WAN и DMZ, пропускает трафик от LAN к DMZ и блокирует от DMZ к LAN. Таким образом, пользователи Интернета ограничиваются в доступе к ресурсам локальной сети, но имеют полноценный доступ к хостам на DMZ-порту. Это одно из основных преимуществ использования DMZ-порта.
В общем случае DMZ-сегмент сети находится в состоянии повышенной опасности подвергнуться атаке. Компьютер, расположенный в DMZ, с очевидностью может стать «перевалочным пунктом» для сетевых злоумышленников на пути их проникновения в локальную сеть. Тем не менее зачастую создание такой зоны – единственный способ обеспечить нормальное функционирование необходимых служб. Рекомендуется всю информацию, чувствительную к атакам, взлому и т. п., хранить на компьютерах локальной сети, но не на серверах, подключенных к DMZ-порту.
DMZ-порт в модеме Prestige 662 – это порт номер 1 (1/DMZ) на встроенном Ethernet-коммутаторе, и по умолчанию на нем установлен именно функционал DMZ, однако есть возможность задействовать его как еще один порт LAN (см. статью Базы Знаний KB-1221).
Для большей конкретизации рассмотрим простой пример. В нем будут участвовать локальная сеть, состоящая как минимум из одного компьютера, сервер ftp (в нашем примере это встроенный в ОС Windows XP - Internet Information Server) и ADSL-соединение с провайдером Интернета, осуществляемое с помощью модема ZyXEL Prestige 662 HW. Задача – обеспечить доступ пользователей из сети Интернет к нашим мультимедиа-архивам, сохранить возможность управления ftp-сервером и не допустить хакеров к ценной информации, находящейся в локальной сети.
Рассмотрим более подробно случай, когда будут использоваться частные IP-адреса на компьютерах, подключенных к порту DMZ.
Предположим, что на нашем сервере установлен и запущен ftp-сервер, входящий в Internet Information Services из состава Windows.
Для установки Internet Information Services нажмите Пуск - Панель управления, выберите Установка и удаление программ - Установка компонентов Windows, установите галочку напротив Internet Information Services (IIS), нажмите кнопку Состав и выберите Служба FTP, нажмите OK и затем Далее. По завершении работы мастера компонентов Windows нажмите Готово.
Для установки дополнительных компонентов Windows понадобится компакт-диск с дистрибутивом операционной системы Windows XP.
В операционной системе выберите Пуск - Панель управления - Администрирование - Internet Information Services и запустите это приложение.
Откроется окно программы, в котором выберите Узлы FTP, выделите FTP-узел по умолчанию, нажмите правой кнопкой мыши и в открывшемся контекстном меню выберите Свойства.
В Свойствах FTP-узла укажите IP-адрес и TCP-порт. По умолчанию используется порт 21, но если необходимо, то можно указать другой номер порта.
Для сохранения изменений нажмите Применить и OK.
С помощью веб-конфигуратора Prestige 662 в меню DMZ (Advanced Setup – DMZ) настраиваются следующие параметры:
DMZ TCP/IP
IP Address. Указывается IP-адрес порта DMZ. Адрес должен принадлежать к другой подсети, чем адрес порта LAN.
IP Subnet Mask. Маска подсети автоматически будет рассчитана на основе введенного выше IP-адреса. Рекомендуется оставить рассчитанную маску либо указать нужную, в соответствии с организуемыми подсетями.
Windows Networking (NetBIOS over TCP/IP)
Allow between DMZ and LAN. Разрешить (отметить галочкой) или блокировать трафик NetBIOS между LAN и DMZ. Если трафик нужно разрешить, то при включенном правиле по умолчанию межсетевого экрана конфигурируется дополнительное разрешающее правило.
Allow between DMZ and WAN. Разрешить (отметить галочкой) или блокировать трафик NetBIOS между WAN и DMZ.
Так как мы будем использовать для FTP-соединений порт 2121, то в настройках трансляции IP-адресов нужно указать перенаправлять все пакеты, приходящие в модем со стороны DSL с портом 2121, на внутренний адрес FTP-сервера.
В меню Advanced Setup – NAT – SUA Only нажмите Edit Details.
Чтобы сделать сервер видимым для внешних пользователей, достаточно задать номер порта и IP-адрес сервера.
В полях Start Port No. и End Port No. указываем номер порта, по которому нужно открыть доступ к нашему FTP-серверу. В поле IP Address указываем внутренний IP-адрес сервера.
Нажмите Save для сохранения настроек и затем Apply для применения правил трансляции.
Межсетевой экран Prestige 662 по умолчанию разрешает обмен трафиком между WAN и DMZ, пропускает трафик от LAN к DMZ и блокирует от DMZ к LAN. Таким образом, пользователи Интернета ограничиваются в доступе к ресурсам локальной сети, но имеют полноценный доступ к хостам на DMZ-порту. При необходимости доступ к локальной сети может быть предоставлен путем создания специального разрешающего правила фильтрации.
В этом примере мы рассмотрели случай, когда используются частные IP-адреса на компьютерах, подключенных к порту DMZ. Но можно использовать и публичные IP-адреса на DMZ-порту модема P-662H/HW. Для этого необходимо, чтобы публичные адреса на WAN и DMZ были из разных подсетей. Нужно использовать Full Feature NAT, в котором настроить правила трансляции адресов между WAN- и LAN-адресами и не настраивать правила трансляции между адресами WAN и DMZ.
KB-1401
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.