DMZ - що це в роутері? Налаштування DMZ на роутері

Будівництво 23 серпня 2023

Абревіатура DMZ розшифровується як DeMilitarized Zone, тобто «Демілітаризована зона». Несподівано і незрозуміло яке це відношення має до роутера. Однак насправді це дуже корисна в ряді випадків річ. Про це і піде мова в цій статті.

Вступ
Налаштування демілітаризованої зони
У яких випадках використовується DMZ
Як використовувати сервер DMZ на маршрутизаторі?
Призначення та використання DMZ
Як увімкнути і налаштувати DMZ на Wi-Fi роутері/модемі.
TP-Link
Zyxel Keenetic
ASUS
Netis
Tenda
LinkSys

Вступ

Власники домашніх Wi-Fi-роутерів іноді можуть зіткнутися з тим, що деякі програми або ігри працюють з обмеженнями. У деяких випадках радиться використовувати переадресацію в маршрутизаторі. Існує кілька способів переадресації, кожен з яких має деякі переваги і недоліки. Одним з таких є DMZ. У більшості моделей мережевих пристроїв цей пункт присутній у параметрах, але далеко не кожен знає, що це таке і для чого його використовувати. Якщо ви теж не знаєте, ця інформація для вас.

Більшість звичайних юзерів навіть не чули про технології DMZ

Налаштування демілітаризованої зони

Можливості звичайних домашніх роутерів в плані налаштування зони DMZ обмежені, відвести під неї цілий сегмент мережі навряд чи вийде, зате ви можете додати в неї один пристрій. При цьому ваш роутер повинен отримувати «білий», тобто унікальну IP-адресу, крім того, пристрій, що додається в демілітаризовану зону, повинен мати статичну IP-адресу. Дізнатися, «білий» або «сірий» у вас IP можна у провайдера, швидше за все це буде «сіра» адреса, оскільки кількість унікальних IP в глобальній мережі обмежена. Видача провайдерами «білих» IP підтримується, але послуга ця в основному платна.

Якщо в DMZ додається ПК, на ньому потрібно встановити статичний IP.

Для цього у властивостях мережі відкриваємо протокол TCP/IP v4, включаємо радіокнопку «Використовувати наступний IP-адрес» і вводимо такі дані:

IP-адреса - IP в діапазоні вашої мережі. Якщо IP роутера, припустимо, 192.168.0.1, можна прописати адресу 192.168.0.76 або з іншим двозначним числом наприкінці; • Маска підмережі - стандартна 255.255.255.0; • Основний шлюз - IP вашого роутера, дізнатися його можна командою ipconfig в командному рядку.

Наступний етап - налаштування роутера.

Заходимо за адресою 192.168.0.1 або 192.168.1.1 в адміністративну панель і шукаємо налаштування DMZ.

У різних моделях маршрутизаторів вона може розташовуватися в різних місцях, в роутерах D-Link, наприклад, вона знаходиться в розділі «Міжмережевий екран».

Увімкнувши використання DMZ, пропишіть або виберіть пристрій, який ви бажаєте додати до демілітаризованої зони.

Після збереження налаштувань і перезавантаження роутера всі порти будуть відкриті, а програми, що використовують вхідні з'єднання, на ПК стануть вважати, що мають доступ в інтернет безпосередньо.

У яких випадках використовується DMZ

Враховуючи відкритість комп'ютера, метод вважається досить небезпечним, тому варто використовувати його, коли інші методи переадресації не дають потрібного результату.

Для роботи програм, які потребують відкриття всіх доступних портів. Таких мало, але вони зустрічаються.
Хостинг домашнього сервера. Іноді потрібно розташувати загальнодоступний ресурс у себе вдома, тому це налаштування буде незамінним для відокремлення сервера від локальної мережі.
Використання ігрових консолей. У більшості моментів автоматичне налаштування переадресації роутера дозволяє використовувати консолі для гри онлайн без додаткових маніпуляцій. Але в деяких випадках тільки DMZ дасть бажаний ефект.

Як використовувати сервер DMZ на маршрутизаторі?

За допомогою описаного вище методи ми за допомогою роутера відкриваємо лише один порт для одного пристрою в мережі. Через DMZ-хост можна відкрити відразу кілька портів. Однак, робити це потрібно лише в крайніх випадках, оскільки в такому випадку пристрій виявляється абсолютно відкритим для доступу з інтернету. Однак іноді це робити необхідно, наприклад, для налаштувань перегляду камер відеоспостереження, підключених через реєстратор, або для організації ігрового сервера.

Наведу приклад - часто при підключенні реєстратора відеоспостереження за замовчуванням використовується порт 80 і змінити його в налаштуваннях просто неможливо. Водночас на маршрутизаторі цей порт також зайнятий і перенаправити його не вийде. У цьому випадку на допомогу приходить DMZ-хост на роутері.

Призначення та використання DMZ

DMZ - це сегмент мережі, створений для сервісів і програм, яким потрібен прямий доступ в інтернет. Прямий доступ необхідний для торентів, месенджерів, онлайн-ігор, деяких інших програм. А також без нього не обійтися, якщо ви хочете встановити камеру відеоспостереження і мати до неї доступ через інтернет.

Якщо комп'ютер, на якому запущено програму, з'єднується до інтернету безпосередньо, минаючи роутер, то необхідності використовувати DMZ немає. Але якщо підключення здійснюється через роутер, то «достукатися» до програми з інтернету не вийде, тому що всі запити будуть отримані роутером і не переправлені всередину локальної мережі.

Для вирішення цієї проблеми зазвичай використовують прокидання портів на роутері. Про це на нашому сайті є окрема стаття. Однак це не завжди зручно і хтось воліє налаштовувати DMZ. Якщо ви налаштуєте DMZ на вашому роутері і додасте в неї потрібний вузол мережі, наприклад, ПК, на якому запущено ігровий сервер або відеореєстратор, до якого підключена IP-камера, цей вузол буде видно із зовнішньої мережі так, як ніби він підключений до інтернету безпосередньо. Для інших пристроїв вашої мережі нічого не зміниться - вони працюватимуть так само, як і до цього.

Слід уважно ставитися до цих всіх налаштувань. Так як і прокидання портів і DMZ - це потенційна діра в безпеці. Для підвищення безпеки у великих компаніях часто створюють окрему мережу для DMZ. Для того, щоб закрити доступ з мережі DMZ до інших комп'ютерів, використовують додатковий маршрутизатор.

Як увімкнути і налаштувати DMZ на Wi-Fi роутері/модемі.

Бюджетні моделі цих мережевих пристроїв не мають можливості створити повноцінну зону для всіх учасників у нашому сегменті мережі, але нам це і не потрібно. Головне, що є можливість додати в Демілітаризовану зону одну IP-адресу видимої станції. Цією дією, ми зробимо DMZ-хост і відкриємо доступ із зовнішньої мережі до всіх його доступних портів.

Зайдіть в інтерфейс маршрутизатора і в адміністративній панелі знайдіть вкладку з назвою DMZ. Наприклад, у мережевих пристроях від компанії ASUS ця вкладка розташована в «Інтернет» - > «DMZ».

На роутері компанії TP-Link включити DMZ можна в розділі «Переадресація» (Forwarding) - > «DMZ».

На жаль, від інших виробників мережевих пристроїв для створення скріншоту зараз під рукою немає, але де знайти цю функцію в інших моделях на словах скажу. Компанія D-Link розташувала її в «Міжмережевому екрані», а Zyxel Keenetic може додати цю опцію в параметрах NAT.

Як бачите включити DMZ на роутері досить просто. Бажаю, щоб різного роду атаки обходили вас стороною.

TP-Link

Стара прошивка

Функція знаходиться в розділі «Переадресація».

Нова прошивка

«Додаткові параметри» - «NAT переадресація» - знаходимо функцію, включаємо, вводимо IP адресу пристрою і зберігаємо параметри.

Zyxel Keenetic

Перш ніж додати пристрій, вам потрібно його зареєструвати. Зайдіть до розділу «Список пристроїв», там ви побачите два списки: «Незареєстровані» і «Зареєстровані» пристрої. Для реєстрації пристрою натисніть на потрібний апарат.

Введіть назву і натисніть кнопку реєстрації.

Після цього цей пристрій з'явиться у списку «Зареєстрованих» - знайдіть його там і знову зайдіть у налаштування. Вам потрібно встановити галочку «Постійна IP-адреса».

Заходимо в «Переадресацію» і створюємо правило:

Ставимо галочку «Включити правило».
Опис - для зручності назвіть «DMZ».
Вхід - тут потрібно вказати те підключення, через яке у вас йде інтернет.
Вихід - тут вказуємо ім'я пристрою, який ви і додаєте в ДМЗ.
Протокол - встановлюємо параметр «TCP/UDP (всі порти і ICMP)».
Розклад роботи - тут можна встановити режим роботи, але найчастіше сервер «Працює постійно».

У розділі «Домашня мережа» (має значок двох моніторів) переходимо на вкладку «Пристрої» і вибираємо зі списку той апарат, який у нас буде DMZ-хостом. Якщо пристрій не підключено, ви можете його додати - правда при цьому вам потрібно точно знати його MAC-адресу.

Вводимо опис і обов'язково ставимо галочку «Постійна IP-адреса». Також у рядку «Доступ в Інтернет» має стояти значення «Дозволено». Натискаємо «Зареєструвати».

Тепер переходимо в розділ «Безпека» і на вкладці «Трансляція адрес мережі (NAT)» натискаємо кнопку «Додати правило».

Тепер потрібно ввести такі дані:

Опис - назвіть як «DMZ» щоб не переплутати, але назва насправді може бути будь-якою.
Інтерфейс - тут потрібно вибрати саме те підключення, через яке у вас йде інтернет. Ці дані можна переглянути в розділі «Інтернет».
Протокол - тут ставимо тільки одне значення: TCP/UDP (всі порти і ICMP).
Переспрямувати на адресу - тут вибираємо наш сервер.

Натискаємо кнопку «Зберегти».

Знаходимо ліворуч розділ «Інтернет», далі переходимо у відповідну вкладку. Включаємо функцію і вводимо адресу хосту. Наприкінці не забудьте натиснути кнопку «Застосувати».

ASUS

Netis

Потрібна нам функція знаходиться в розділі «Переадресація», далі включаємо хост, вводимо IP і «Зберігаємося».

Tenda

V1-3

Заходимо в «Додаткові параметри» і знаходимо конфігурація хосту.

Переводимо бігунок у включений стан і вводимо останню цифру локальної машини, для якої всі порти будуть відкриті.

Знаходимо вкладку «Advanced».

Пролистуємо до розділу «ДМЗ-хост» включаємо (Enabled) і вводимо адресу.

LinkSys

Конфігуратор з відкриття всіх портів знаходиться в розділі «Application & Gaming». Вмикаємо функцію (Enabled). Тут налаштування трохи відрізняються від інших апаратів. У рядку «Source IP Address» можна встановити діапазон зовнішніх адрес, які матимуть доступ до виділеного пристрою в мережі. Найчастіше вказується параметр «Any IP Address» (Всі IP адреси).

Для налаштування у рядку Destination вказуємо IP або MAC-адресу пристрою. Ви також можете переглянути всі підключені апарати, натиснувши кнопку «DHCP Client Table». Після налаштування натисніть Save Settings.