Как настроить демилитаризованную зону DMZ в Mikrotik Router OS

Одной из довольно распространённых задач, при настройке небольших, чаще всего – домашних локальных сетей, является организация демилитаризованной зоны (DMZ) для определённого компьютера. Одним словом, чтобы все приходящие запросы, не зависимо от порта, попадали на конкретный IP адрес минуя NAT и Firewall маршрутизатора. Чаще всего, это бывает необходимо для организации различных сервисов на конкретном компьютере, например, игровых серверов и т.д.

Если речь идёт о бытовых (SOHO) маршрутизаторах, таких как большинство моделей популярных ныне марок: D-Link, TP-Link, Asus и прочие, то там всё довольно просто. Достаточно найти в интерфейсе меню DMZ, поставить “галочку” и вписать нужный IP адрес. А вот в Mikrotik Router OS отдельного пункта, такого как DMZ, попросту нет. И часто многих это ставит в тупик. Так как же настроить демилитаризованную зону в маршрутизаторах Mikrotik?

Но реально, всё довольно просто, ведь DMZ, это по сути, обычное перенаправление портов dstnat, только для всех портов сразу и независящее от протокола.

Делается это вот такой командой:

/ip firewall nat add chain=dstnat in-interface=[WAN_Interface] action=dst-nat to-addresses=[IP_Address_of_DMZ_host]

Где [WAN_Interface] – интерфейс к которому подключён ваш провайдер, например ether1 или pppoe1, если вы подключаетесь к провайдеру по протоколу PPPoE. И [IP_Address_of_DMZ_host], это IP адрес компьютера, который и будет демилитаризован.

Например, если ваш провайдер подключён по протоколу PPPoE и имеет имя интерфейса pppoe1, а у компьютера, для которого нужно создать DMZ, IP адрес 192.168.88.3, то эта команда будет выглядеть как:

/ip firewall nat add chain=dstnat in-interface=pppoe1 action=dst-nat to-addresses=192.168.88.3
Рис.1

Рис.1

 

Проверить правильность этих действий, можно командой:

/ip firewall nat print

Она должна отобразить все существующие записи NAT, в том числе и созданную нами.

Если же вы привыкли использовать GUI интерфейс, то это можно сделать следующим образом. Открыть меню IP Firewall, перейти на вкладку NAT и добавить новое правило.

Вкладка General.

Chain: dstnat

In. interface: pppoe1

Рис.2

Рис.2

 

Вкладка Action

Action: dst-nat

To addresses: 192.168.88.3

Рис.3

Рис.3

 

Но бывают ещё такие случаи, например, когда вам необходимо сохранить доступ к маршрутизатору извне (из Интернета), скажем по протоколу SSH. Для этого нам необходимо оставить доступ по 22 порту именно к Mikrotik. Это тоже довольно просто. Достаточно задать команду:

/ip firewall nat add chain=dstnat in-interface= [WAN_Interface] protocol=tcp dst-port=22 action=accept

Где [WAN_Interface] – интерфейс к которому подключён ваш провайдер.

Только хочу обратить ваше внимание на то, что в этом случае, эта запись должна быть выше чем запись с демилитаризацией определённого компьютера, так как правила NAT выполняются в порядке очереди.

Источник http://asp24.com.ua/blog/mikrotik-router-os-nastrojka-demilitarizovannoj-zony-dmz/

Запись опубликована в рубрике *Lan&Wan, *Сети, MikroTik. Добавьте в закладки постоянную ссылку.

4 комментария на «Как настроить демилитаризованную зону DMZ в Mikrotik Router OS»

  1. Руслан говорит:

    Спасибо за детальное объяснение!

  2. ABabich говорит:

    А Как же настройки правил firewall?
    Злоумышленник, попав на ваш сервер в DMZ, элементарно попадает во все ваши сети, подключенные к Микротику!!!

    Зона DMZ это не только port forwarding, но и запрет попадать с зоны еще куда либо, кроме интернета. А это делается через firewall и/или route rule

  3. Николай говорит:

    Смысл DMZ не в том, чтобы пробросить порты, а в том, чтобы изолировать общедоступный сервер от локальной сети.

  4. Ehash1 говорит:

    Кто-то реально не понял что такое dmz?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91