Dmz nat loopback что это в роутере

В данной статье рассмотрим всё, что связано с Port Forward (проброс портов) – автоматически и вручную.

Часто, помимо обеспечения доступа в интернет пользователям, подключенным к маршрутизатору, возникают такие задачи как:
– прозрачный доступ к какому-либо устройству или сервису, находящемуся в локальной сети
– фильтрация входящих или исходящих соединений с целью ограничить посещение тех или иных ресурсов, работу сервисов, и другие несанкционированные активности.

Для этих целей в ПО Wive-NG предусмотрен блок настроек , именуемый Firewall (Сетевой Экран).

По сути, раздел веб-интерфейса Firewall (Сетевой Экран) — это не что иное, как GUI, позволяющий создавать правила iptables, не прибегая к консоли. Разумеется, последний вариант (консоль) позволяет осуществить более гибкую настройку политик разрешений и запретов, и если есть такая возможность, то лучше «подружиться» с iptables (тем более, что это штатное средство unix-систем, и понимание логики его работы будет применимо и к работе с другими unix-based устройствами). Однако, базовые пользовательские задачи вполне решаются посредством web.

1. Настройки проброса портов (Port Forwarding).

Иногда нам необходимо организовать удаленный доступ к устройству, находящемуся в локальной сети, по тому или иному протоколу. К примеру, доступ к web-интерфейсу IP телефона (по умолчанию, порт 80), или же работу с удаленным рабочим столом по протоколу RDP (по умолчанию порт в Windows 3389). Также, может возникнуть задача обеспечения функционирования сервиса, запущенного в локальной сети, который ведет прием и передачу данных по конкретному диапазону равнозначных портов (к примеру, SIP сервер, или же раздача контента посредством torrent клиента).

Но с точки зрения того, кто находится в глобальной сети, все эти устройства имеют один и тот же IP адрес (либо доменное имя). Именно тут на помощь приходит проброс портов (port forward).

Для включения сервиса необходимо обратиться к пунктам меню:
Сетевой экран (Firewall) → Сетевой экран (Firewall) → Настройка проброса портов (Port Forwarding), и включить сервис.

Настройка проброса портов через web интерфейс достаточно проста , и состоит из следующих шагов:

1. Выбор интерфейса, для которого дейстует правило. По умолчанию это WAN, но если Ваш оператор использует VPN, то следует указывать его.
2. Протокол. Возможные варианты: TCP (например , доступ к web), UDP (например, работа VoIP ). Также доступен вариант выбора обоих TCP и UDP . Данный вариант стоит использовать только в случае, если целевой сервис использует и TCP и UDP (например, torrent). Во всех остальных случаях (например, Вы точно не уверены нужно ли TCP или же UDP) рекомендуется ознакомиться с документацией, выяснить, какой протокол используется и указать нужный, дабы избежать бреши в безопасности и эксплуатации ее троянами.
3. Порты, на которые будет производиться обращение извне, для переадресации на нужное устройство / сервис, для которого создается правило. Т.е, по сути, то, за счёт чего маршрутизатор поймет, к чему именно в локальной сети Вы обращаетесь. Можно указать как один порт, так и диапазон.
4. IP адрес в локальной сети, соответствующий устройству, к которому Вы обращаетесь.
5. Порты, которые соответствует необходимому сервису на самом устройстве в локальной сети, к которому происходит обращение.
Важно: рекомендуется использовать одинаковые порты dst и src, т.к данная схема снижает нагрузку на CPU и гарантирует корректрую работу программного и аппаратного offload.
6. NAT loopback — т.е, будет ли работать доступ при обращении на глобальный адрес и src порт из локальной сети. Важно: корректная работа NAT loopback  (в силу того, что по сути это грязный хак на уровне нетфильтра с подменой адресов на лету на уровне фаервола) зависит от множества факторов, включая операционную систему, src/dst порты на клиенте и сервере, а так же частично несовместима с software offload и т. д. Поэтому установленное положительное значение не является гарантией корректной работы данной службы. Так же в некоторых случаях для корректной работы NAT Loopback, может потребоваться отключение программного оффлоада, что приведёт к снижению производительности.
Рекомендуется вместо использования NAT loopback в настройках DNS добавить локальные DNS записи для ваших серверов с локальными же именами и использовать их для обращения к серверам внутри сети. Это гораздо более верное со всех точек зрение решение.
7. Комментарий в свободнонй форме, позволяющий не держать в голове, какое правило и зачем Вы создавали.
8. Действие, а именно — что вы хотите сделать с правилом: добавить (новое) либо удалить (уже существующее).

Важно: После завершения работы с правилами (добавление , удаление) необходимо нажать Применить / Apply, в противном случае все добавленные правила не будут сохранены. Добавление правила (нажатие Добавить / Add) в ходе редактирования таблицы port forwarding само по себе не является мгновенной записью созданного правила в конфигурацию роутера, а лишь предварительно сохраняет его на странице.

Например, правило вида:

Interface (Интерфейс) = WAN,
Protocol (Протокол) = TCP,
Src Ports (Порт ист.) = 8888,
Dst IP (IP назначения) = 192.168.1.124,
Dst Ports (Порт назн.) = 80,
Comment (Комментарий) = ‘IP Phone’

будет означать, что при обращении по адресу http://Ваш_IP_адрес:8888 либо http://Ваш_Домен:8888 весь TCP трафик будет перенаправляться на устройство, имеющее IP адрес 192.168.1.124 в Вашей локальной сети, а именно — на 80 порт.

А правило вида

TCP&UDP / 3389 / 192.168.1.150 / 3389 / ‘RDP’

гласит о том, что в Вашей сети есть ПК, живущий на IP адресе 192.168.1.150, к удаленному рабочему столу на котором Вы подключитесь, сказав “http://Ваш_Домен:3389” (т.к в примере выбран интерфейс VPN, то судя по всему, указать статический IP просто невозможно — для решения этой проблемы можно воспользоваться аккаунтом на одном из DynDNS сервисов (такая возможность также доступна штатно в ПО Wive-NG).

Важно: необходимо удостовериться в следующих моментах:
-указываемый Вами порт назначения (dst) действительно настроен на целевом устройстве для необходимого сервиса.
-доступ по указанному порту доступен с WAN на устройстве (если настраиваемый роутер является шлюзом для целевого устройства), и в целом доступ извне не блокируется локальным firewall.
Например, в настройках IP телефона из примера необходимо проверить две вещи: порт доступа к web / http = 80 , доступ к web / http разрешен для wan интерфейса всем, либо как минимум конкретному хосту роутера.

Важно: правило не будет работать, если IP адрес целевого устройства в локальной сети изменится. Для исключения такой возможности, есть два варианта:
1. Настройка статического адреса сетевого интерфейса на целевом устройстве. Т.е, отказ от получения IP адреса от DHCP сервера роутера .
2. Закрепление IP адреса, выдаваемого DHCP сервером роутера, за MAC адресом конкретного устройства. Осуществить это можно , зайдя в раздел меню Сервисы → Сервер DHCP и создав новую пару MAC — IP с соответствующим комментарием. Если в текущий момент времени устройство имеет активную аренду IP адреса от DHCP сервера роутера, то его текущий выданный IP , а также MAC можно будет увидеть на этой же странице в соответствующем списке.

Если же Вам необходимо пробросить диапазон портов, необходимо учесть следующее:
1. Стоит по возможности избегать проброса с разными портами src/dst, т.к при использовании комплексных протоколов обслуживаемых ALG (FTP/RTSP/SIP/PPTP/L2TP etc) т.к., могут возникать разночтения.
2. Ширина диапазонов src и dst портов должна совпадать.
3. Порты должны быть равнозначны. Т.е, работа сервиса не должна зависеть от конкретного выбранного порта из диапазона. Такими случаями, например, являются: data порты FTP сервера, порты для передачи голоса SIP сервера, порты раздачи torrent, и т.д.
4. Если необходимо настроить NETMAP, т.е проброс 1:1 (фиксированные пары src и dst портов диапазона), то необходимо каждую пару создавать отдельным правилом. В общем случае при указании диапазона соединение осуществляется на первый доступный порт для которого в conntrack отсутствует запись.

Уже созданные правила проброса портов можно проверить в консоли в Chain FORWARD, скомандовав iptables -L -v -n -t nat . Необходимо помнить, что для получения корректных данных счетчиков (например, в диагностических целях), весь возможный offload должен быть отключен, иначе большая часть трафика в счетчик не попадет. Разумеется, если такой цели не стоит, offload использовать можно и нужно.

2. Пара слов про UPNP

На сегодняшний день многие приложения, включая torrent-клиенты, умеют UPNP IGD (Universal Plug and Play Internet Gateway Device), что позволяет не пробрасывать порты вручную для этих приложений, а воспользоваться автоматичесим пробросом. OS Wive-NG также поддерживает эту возможность. Основным условием является включение UPNP как на роутере, так и в настройках клиента.
Включить UPNP можно в блоке настроек Сервисы → Разное → Сервис

3. Пара слов про настройки ALG (Шлюз прикладного уровня)

ALG (Application Layer Gateway, Шлюз прикладного уровня) анализирует проходящий трафик, распрозает конкретные протоколы и осуществляет ретрансляцию на стандартный порт, соответствующий протоколу. Это позволяет нескольким клиентским устройствам, находящимся за NAT (т.е, в локальной сети маршрутизатора) одновременно и беспрепятственно вести обмен трафиком ряда прикладных протоколов с внешними хостами без настройки проброса портов. В linux данная опция называется Conntrack NAT Helpers.

В Wive-NG ручная настройка ALG не требуется — достаточно выбрать интересующий протокол из списка.

4. Пара слов про DMZ (Демилитаризованная зона)

DMZ позволяет выделить опредленный хост в локальной сети в сегмент, общедоступный с WAN по всем портам, открытым на этом хосте (будь то локальный сервер или другое устройство). В этом случае, все соединения, инициированные из WAN будут попадать в DMZ, и ровно на те порты , которые были указаны в качестве портов назначения в соединении. Доступ к остальным устройствам локальной сети из WAN, включая сам маршрутизатор, будет при этом закрыт.

Пример: при указании в качестве DMZ адреса 192.168.1.124 , все соединения на глобальный адрес маршрутизатора будут перенаправлены на соответствующие порты устройства 192.168.1.124. К примеру, попытка подключиться к web-интерфейсу через браузер с указанием в адресной строке http://my_ip:80 , будет интерпретировано маршрутизатором как обращение к машине 192.168.1.124 на 80 порт. Будет ли установлено такое соединение, зависит исключительно от того, открыт или закрыт указанный порт на устройстве, расположенном на 192.168.1.124.

Важно: при включении DMZ NAT loopback соединения с LAN на маршрутизатор будут обрабатываться тем же образом, что и соединения с WAN. То есть, доступ к маршрутизатору будет утерян, тк все запросы будут перенаправлены на соответствующие порты по адресу, указанному в качестве DMZ.

Важно: чтобы избежать конфликта, не следует одновременно с DMZ настраивать правила firewall, содержащие в себе тот же адрес, что указан в качестве DMZ.

Особенности фильтрации трафика по IP / MAC / портам рассмотрим в следующей статье…..

Настройка проброса портов

Настройка проброса портов нужна, если в домашней сети планируется использование программ, сервисов или устройств, требующих доступа извне, со стороны Интернет. По умолчанию в SNR-CPE запрещены все входящие подключения из Интернета к компьютерам или сетевым устройствам локальной/домашней сети (кроме тех, которые поддерживают UPnP).

Чтобы осуществить проброс портов необходимо перейти в меню Сетевой экран – Сетевой экран. В разделе Настройки проброса портов нужно активировать опцией Включить. Укажите номера (TCP/UDP) портов, которые использует программа или сетевые устройство в соответствующие поля:

• В поле Интерфейс выберите интерфейс, с которого будут приниматься входящие соединения: WAN/VPN;
• Порт источника – TCP/UDP порт, с которого идут обращения со стороны Интернет (WAN) в вашу локальную сеть, к определённому приватному IP адресу (LAN);
• Порт назначения – TCP/UDP порт внутри локальной сети (LAN), со стороны приватного IP адреса, а затем нажмите Применить.

DMZ (демилитаризованная зона) – это возможность организовать доступ к локальным (находящимися за маршрутизатором с NAT) ресурсам (Игры, www, ftp и др.) из Интернет.

При включённом DMZ запрос извне на внешний интерфейс маршрутизатора (WAN) с определённого TCP/UDP порта автоматически переадресуется на такой же порт в локальную сеть (LAN), на приватный IP адрес, указанный в настройках.

Для настройки DMZ перейдите в меню Сетевой экран – Сетевой экран, в разделе Настройка демилитаризованной зоны включите DMZ с помощью опцией Включить. Далее укажите адрес нужного вам устройства в локальной сети в поле IP адрес.

Нат-петля или nat loopback — это функция, доступная в большинстве современных роутеров, которая позволяет устройствам внутри локальной сети обращаться к ресурсам, находящимся в этой же сети, используя внешний IP-адрес роутера.

Когда в локальной сети есть сервер или другое устройство, доступное из интернета по внешнему IP-адресу, обычно сетевые устройства блокируют возможность доступа к этому ресурсу через внешний IP из локальной сети. Это сделано из соображений безопасности, чтобы предотвратить возможность атаки на локальные ресурсы. Однако, иногда может возникнуть необходимость в тестировании или использовании ресурсов из локальной сети через внешний IP-адрес.

Именно для таких случаев и предназначена функция нат-петли в роутере. Она позволяет устройствам внутри сети обращаться к ресурсам по внешнему IP-адресу, обходя блокировку и атаки, и обеспечивая нормальное функционирование тестирования и использования ресурсов.

С помощью настройки нат-петли пользователь может управлять доступом к ресурсам из локальной сети, исключая возможность доступа с определенных устройств, а также контролировать рабочую сетку и обеспечивать безопасность без каких-либо ограничений для работы с удаленными серверами и ресурсами.

Используя нат-петлю в роутере, пользователь может смотреть целевые ресурсы из локальной сети, используя общий IP веб-сервера и других сервисов, установленных на удаленном узле, без надобности вводить IP-адреса сервера в регистраторе DNS локальной сети. Таким образом, нат-петля позволяет упростить настройку доступа к внутренним и внешним ресурсам, сэкономить время и повысить безопасность работы с ресурсами.

Нат-петля в роутере

Нат-петля в роутере может быть полезна, например, в случае, когда вы хотите проверить работоспособность веб-сайта или другого сервиса изнутри сети, используя внешний IP-адрес. Без настройки нат-петли в роутере, у вас была бы возможность обратиться к сервису только извне сети.

Для включения нат-петли (nat loopback) в роутере обычно необходимо войти в его административную панель и найти соответствующий раздел. Там вы сможете включить эту функцию и применить изменения. Однако, не все модели роутеров поддерживают данную функцию, поэтому перед покупкой или настройкой роутера рекомендуется узнать о его возможностях.

Использование нат-петли в роутере может значительно упростить доступ к сервисам в вашей локальной сети изнутри и извне. Эта функция может быть особенно полезна для разработчиков, тестировщиков и администраторов сетей, которым часто приходится работать с внешними IP-адресами и пробрасывать порты.

Определение и работа

Нат-петля (nat loopback) представляет собой функцию в роутере, которая позволяет устройствам в локальной сети обращаться к узлам внешней сети, используя внешний IP-адрес роутера.

Когда устройство в локальной сети отправляет пакет на внешний адрес, роутер перехватывает этот пакет и заменяет внутренний IP-адрес отправителя на свой внешний IP-адрес. Затем роутер направляет пакет к внешнему адресу, а полученный ответ обратно отправляет на устройство в локальной сети.

Таким образом, нат-петля позволяет устройствам в локальной сети осуществлять доступ к сетевым ресурсам, размещенным за пределами этой сети, с использованием только одного внешнего IP-адреса роутера.

Нат-петля может быть полезна в ситуациях, когда необходимо тестировать доступность внешних ресурсов из локальной сети или проводить отладку сетевых приложений.

Преимущества использования

• Позволяет проверять функциональность внутренних серверов без необходимости выхода во внешнюю сеть.
• Упрощает отладку и тестирование сетевых приложений, так как можно обращаться к локальным серверам через внешний IP-адрес.
• Обеспечивает более гибкую настройку сети, позволяя избежать ограничений в использовании внешних IP-адресов.
• Увеличивает безопасность, так как предотвращает передачу данных через внешнюю сеть.
• Обеспечивает более эффективное использование доступных ресурсов, так как позволяет использовать локальные серверы без необходимости их публикации.

Как настроить нат-петлю

Настройка нат-петли (nat loopback) на роутере позволяет установить соединение с выделенным внешним IP-адресом через внутреннюю сетевую инфраструктуру. Это очень полезная функция, которая позволяет тестировать веб-сервисы, хостинги и другие приложения, которые находятся внутри вашей сети.

Чтобы настроить нат-петлю, вам понадобится доступ к панели управления роутером. Давайте рассмотрим основные шаги:

1. Войдите в панель управления роутером: Введите IP-адрес своего роутера в адресную строку браузера и введите логин и пароль для входа в панель управления.
2. Найдите настройки NAT: Обычно они находятся в разделе «Настройки сети» или «Дополнительные параметры».
3. Включите нат-петлю: Найдите опцию «Enable NAT Loopback» или «Enable NAT Reflection» и активируйте ее.
4. Сохраните изменения: Не забудьте сохранить изменения, чтобы они вступили в силу.

После этого нат-петля будет активирована на вашем роутере. Теперь вы сможете обращаться к внешнему IP-адресу вашей сети, используя внутреннюю сеть.

Обратите внимание, что процесс настройки нат-петли может незначительно варьироваться в зависимости от модели и производителя роутера. Рекомендуется обратиться к документации вашего роутера или обратиться в техническую поддержку, если у вас возникнут сложности в процессе настройки.

Ситуации, когда необходимо использование

Использование нат-петли (nat loopback) в роутере может быть полезным в следующих ситуациях:

• Тестирование локальных серверов: при настройке и тестировании серверов, находящихся внутри сети, нат-петля позволяет получать доступ к серверам с использованием публичного IP-адреса роутера.
• Установка обратного вызова VoIP: при использовании IP-телефонии, нат-петля обеспечивает возможность звонить на локальные номера извне, соединяя вызов с сервером VoIP внутри сети.
• Отладка сетевых приложений: при разработке и отладке сетевых приложений, нат-петля позволяет проверить взаимодействие клиента и сервера на одном устройстве с помощью его публичного IP-адреса.
• Доступ к локальным ресурсам из интернета: нат-петля может быть использована для получения доступа к сетевым ресурсам, находящимся внутри локальной сети, из интернета, без необходимости использования VPN или других сложных настроек.
• Тестирование настроек маршрутизации: при проверке настроек маршрутизации в сети, нат-петля позволяет проверить, как пакеты маршрутизируются между различными сетевыми устройствами.

Вывод

Это особенно полезно, если вы работаете с веб-сервером внутри сети и хотите проверить его работу, не выходя в Интернет. Вместо того, чтобы набирать в браузере внутренний IP-адрес сервера, можно использовать его публичный доменный адрес и быть уверенным, что все работает корректно для внешних пользователей.

Чтобы включить нат-петлю на роутере, необходимо зайти в его настройки и найти соответствующий раздел. Обычно он находится в разделе «Расширенные настройки» или «NAT». Включите функцию и сохраните изменения. Теперь вы сможете использовать нат-петлю для доступа к вашим внутренним ресурсам через внешний IP-адрес.

Важно отметить, что не все роутеры поддерживают функцию нат-петли, поэтому перед покупкой рекомендуется убедиться, что она доступна в выбранной модели.

В заключение, нат-петля – это полезная функция, которая упрощает доступ к ресурсам внутри вашей сети через внешний IP-адрес. Она особенно полезна для разработчиков и администраторов систем, позволяя проверять работу серверов, не выходя в Интернет.