MikroTik RouterOS 設定 DMZ 非軍事區 De Militarized Zone

DMZ,正式名稱'De Militarized Zone',譯名為「非軍事區」,一種網路主機的布置方案,就是在不信任的外部網路和可信任的內部網路之間建立一個面向外部網路的物理或邏輯子網,該子網能安放用於對外部網路的伺服器主機。  

該方案主要用於解決使用防火牆後處於內部網路的伺服器無法被外部網路訪問的問題。

除外,由於從外部網路進入內部網路必須要經過隔離DMZ與外部網路和隔離內部網路與DMZ之間的隔離設備(如防火牆)和處於DMZ的主機(不一定經過),比一般的防火牆方案,從外部網路入侵內部網路的難度會有所增加,從而提供對內部網路的保護。

對於外部網路來說,只能訪問到DMZ內的主機。

簡單來說,DMZ 下的網路主機,可以直接允許外部連線,所以較不安全,不過可以免除繁雜的防火牆設定,就可直接外部連線。

下圖為範例架構:

WAP IP 為 192.168.3.140 介面為 ether1 。

LAN IP 為 192.168.1.254 介面為 ether2,並且架設 Web 伺服器。

※192.168.3.140 並非 真實 public IP,為了方便測試使用,測試時請自行轉換為您的 WAN IP。


  2012-06-04      ez      Mikrotik RouterOS
MikroTik RouterOS 設定成 分享器 DHCP Server 及 NAT 功能

首先您的 RouterOS 的 WAN  Port 必須已經設定完成,可正常連線上網,設定方式可參考之前的文章。

ADSL用戶 (PPPoE):http://blog.cscworm.net/?p=1853/

Cable用戶 (DHCP Client):http://blog.cscworm.net/?p=1821

固定IP (Static IP):http://blog.cscworm.net/?p=1843  

功能介紹:

當您跟 ISP 申請網路時,只會提供固定數量的 IP,但是如果電腦數量超過 IP 數量時,就需透過 NAT 轉換,將網路分享給其他用戶使用。我們常見的 分享器 就是採用 NAT 功能,將網路分配給多台電腦使用。

20世紀90年代中期,NAT是作為一種解決IPv4地址短缺以避免保留IP位址困難的方案而流行起來的。網路地址轉換的在很多國家都有很廣泛的使用。

所以NAT就成了家庭和小型辦公室網路連接上的路由器的一個標準特徵,因為對他們來說,申請多餘的IP位址的代價要高於所帶來的效益。  

在一個典型的配置中,一個本地網路使用一個專有網路的指定子網(比如192.168.x.x或10.x.x.x)和連在這個網路上的一個路由器。這個路由器佔有這個網路地址空間的一個專有地址(比如 192.168.0.1),同時它還通過一個或多個網際網路服務提供商提供的公有的IP地址(叫做「過載」 NAT)連接到網際網路上。當信息由本地網路向網際網路傳遞時,源地址被立即從專有地址轉換為公用地址。由路由器跟蹤每個連接上的基本數據,主要是目的地址和埠。

當有回復返迴路由器時,它通過輸出階段記錄的連接跟蹤數據來決定該轉發給內部網的哪個主機;如果有多個公用地址可用,當數據包返回時,TCP或UDP客戶機的埠號可以用來分解數據包。對於網際網路上的一個系統,路由器本身充當通信的源和目的地址。  

當設定好 NAT 功能,但是電腦還是不會自動連線到 NAT 伺服器,所以需要設定 DHCP 功能,才會將電腦自動分配 IP,並且對應到 NAT,才能讓其他電腦開機就能上網。

動態主機設定協定(Dynamic Host Configuration Protocol, DHCP)是一個區域網的網路協議,使用UDP協議工作,主要有兩個用途:

給內部網路或網路服務供應商自動分配IP地址給用戶。

給內部網路管理員作為對所有電腦作中央管理的手段。  

開始設定:


  2012-08-24      ez      Mikrotik RouterOS