Переадресация всех портов на хост локальной сети (организация DMZ-хоста)
Иногда возникает задача в локальной сети интернет-центра Keenetic организовать DMZ-хост (это может быть веб-сервер, сетевой видеорегистратор, IP-камера или другое устройство), у которого открыты все порты и таким образом предоставить полный удаленный доступ к нему из Интернета. DMZ-хост это не сегмент DMZ, т.к. хост с открытыми портами не изолируется от внутренней сети и не защищен встроенными средствами безопасности (межсетевым экраном и механизмом трансляции адресов NAT).
Важно
Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье "В чем отличие "белого" и "серого" IP-адреса?"
Рассматриваемый в данной статье пример является частным случаем и не лучшим вариантом с точки зрения безопасности соединения. Этот вариант используйте, только если не знаете, какие порты и протоколы используются на сервере или сетевом устройстве. В этом случае безопасность должна осуществляться непосредственно средствами устройства, на котором открыты все порты. Мы рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства.
Перед настройкой правила переадресации портов зарегистрируйте устройство в интернет-центре на странице "Список устройств" и включите опцию "Постоянный IP-адрес", указав для этого хоста локальный IP.
Затем на странице "Переадресация" нужно создать правило проброса всех портов.
Включите правило переадресации портов.
В поле "Вход" нужно правильно указать значение. Выберите подключение или интерфейс, через который роутер Keenetic получает доступ в Интернет и на котором используется публичный IP-адрес (в нашем примере это "Провайдер"). В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через подключение с авторизацией PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение.
В поле "Выход" выберите устройство, подключение или интерфейс, которому будет переадресован подходящий трафик (в нашем примере это зарегистрированный в домашней сети компьютер Server).
В поле "Протокол" выберите значение "TCP/UDP (все порты и ICMP)" из списка предустановленных (это значение находится первым в списке).
В поле "Расписание работы" можно добавить расписание, по которому будет работать данное правило.
Важно
Дополнительную настройку межсетевого экрана производить не нужно, т.к. при использовании правила переадресации интернет-центр самостоятельно открывает доступ по указанным портам и протоколам.
Если переадресация портов по какой-то причине не заработала, обратитесь к статье "Что делать, если не работает переадресация портов?".