Настройка виртуального сервера
Для доступа к локальной сети из внешней сети в обход протокола NAT маршрутизаторы поддерживают создание демилитаризованной зоны (DMZ-зона), возможность конфигурирования виртуального сервера, а также функцию динамического перенаправления портов.
В DMZ-зону можно включить всего один компьютер, указав принадлежность его IP-адреса к DMZ-зоне. В этом случае при указании IP-адреса WAN-порта маршрутизатора все запросы будут перенаправляться на IP-адрес компьютера в DMZ-зоне. Фактически это позволяет получить доступ к ПК во внутренней сети в обход маршрутизатора, что, конечно же, снижает безопасность, но в некоторых случаях это необходимо.
Альтернативой DMZ-зоне является виртуальный сервер. При конфигурировании виртуального сервера пользователи получают доступ извне к определённым приложениям, установленным на виртуальном сервере во внутренней сети. При настройке виртуального сервера задается IP-адрес виртуального сервера, используемый протокол (TCP, UDP и т.д.) и порт приложения (например, 80 или 21). К примеру, при задании следующих настроек виртуального сервера:
- Virtual Server IP: 192.168.1.1;
- Protocol: TCP;
- Port: 21;
пользователь может получить доступ к FTP-серверу (порт 21), установленному на ПК внутренней сети с IP-адресом 192.168.1.1. Для реализации такого доступа необходимо указать WAN-порта маршрутизатора, а не IP-адрес виртуального сервера.
Технология динамического перенаправления портов (встречаются названия Port Trigger, Special Application) заключается в том, чтобы открыть определённые порты в брандмауэре – это может потребоваться для некоторых Интернет-приложений, которым необходимо передавать запросы из внешнего сегмента сети (WAN) во внутренний (LAN).
При активировании режима перенаправления портов задаётся соответствие между входящим портом (Incoming Port) и портом Trigger Port. В этом случае маршрутизатор следит за исходящим трафиком, то есть за тем трафиком локального сегмента, который направлен в Интернет и соответствует заданному критерию. Если такой трафик обнаружен, то маршрутизатор запоминает IP-адрес компьютера, от которого этот трафик исходит. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP-адрес. Таким образом, создается иллюзия того, что сразу несколько компьютеров одновременно используют перенаправление одного и того же порта, хотя на самом деле перенаправление одномоментно может использовать только один компьютер.