MikroTik RouterOS 設定 DMZ 非軍事區 De Militarized Zone MikroTik RouterOS 設定 DMZ 非軍事區 De Militarized Zone
  Mikrotik RouterOS       ez      2012-06-04

DMZ,正式名稱'De Militarized Zone',譯名為「非軍事區」,一種網路主機的布置方案,就是在不信任的外部網路和可信任的內部網路之間建立一個面向外部網路的物理或邏輯子網,該子網能安放用於對外部網路的伺服器主機。  

該方案主要用於解決使用防火牆後處於內部網路的伺服器無法被外部網路訪問的問題。

除外,由於從外部網路進入內部網路必須要經過隔離DMZ與外部網路和隔離內部網路與DMZ之間的隔離設備(如防火牆)和處於DMZ的主機(不一定經過),比一般的防火牆方案,從外部網路入侵內部網路的難度會有所增加,從而提供對內部網路的保護。

對於外部網路來說,只能訪問到DMZ內的主機。

簡單來說,DMZ 下的網路主機,可以直接允許外部連線,所以較不安全,不過可以免除繁雜的防火牆設定,就可直接外部連線。

下圖為範例架構:

WAP IP 為 192.168.3.140 介面為 ether1 。

LAN IP 為 192.168.1.254 介面為 ether2,並且架設 Web 伺服器。

※192.168.3.140 並非 真實 public IP,為了方便測試使用,測試時請自行轉換為您的 WAN IP。

因為內部網路透過 NAT 上網,所以當 WAN 進入的連線,傳送至 NAT 轉換為指定內部IP。

使用 Winbox 登入 Router OS ,選擇選項 IP > Firewall:

選擇 NAT 分類項,按下 + 號 新增項目:

選擇 General 分類項:

Chain:外網進來的連線需要轉換,所以選擇 dstnat。

In. Interface:選擇 WAN 是從哪個介面卡進入的,範例 ether1 為 WAN Port,所以選擇 ether1。

選擇 Action 分類項:

Action:外網進來的連線需要轉換,所以選擇 dst-nat。

To Addresses:輸入 DMZ 要轉換到哪一個內部 IP,範例為 192.168.1.254 這台伺服器。

將剛剛設定的項目往上拖曳,因為 RouterOS 規則是從上往下檢查,如果規則在下方,就會造成規則還沒跑到就跳出了。

將項目往上拖曳完成:

可以在剛剛設定的 DMZ IP 192.168.1.254 的電腦,安裝 Web 伺服器方便測試是否成功。

範例在 192.168.1.254 安裝 HFS Server,並且設定 80 port 為 HTTP Page。  

開始測試 DMZ 是否成功,輸入您的 WAN IP,範例為 192.168.3.140,所以 HTTP 為 http://192.168.3.140

DMZ 設定成功摟!  

其他進階設定教學:

當有多個 WAN 時,如果每個 WAN 都想指定到同一台 DMZ 主機,只需將 In. Interface 改為空白即可,這樣所有 WAN 進來的連線,都會導到 DMZ 伺服器。

可以指定特定 WAN IP 進來的連線,才導到 DMZ 伺服器:

Dst. Address:輸入指定的 WAN IP,例如:192.168.3.140。

可以指定特定範圍的 WAN IP 進來的連線,才導到 DMZ 伺服器:

Dst. Address:輸入指定範圍 WAN IP,例如:192.168.3.1 到 192.168.3.254,所以輸入 192.168.3.0/24。


標籤:   Mikrotik RouterOS

我要留言