تفاوت Port Forwarding و DMZ در تنظیمات مودم
سلام دوستان گلم؛ همونطور که میدونیم فقط با تنظیم DMZ میتونیم به کامپیوتر مورد نظرمون در شبکه داخلی؛ از طریق اینترنت(همراه با IP Static البته) Remote desktop رو فعالش کنیم. حالا من یه جا تو همین فروم (با این لینک) و این پاسخ:"سلام دوست عزیز ، درحالت کلی اگر کامپیوتری توی اینترنت بدون واسطه و مستقیم(NAT) دارای IP VALID باشه،فرقی با کامپیوتر شبکه ی LAN نداره و میتونید آدرس مقصد رو وارد کنید و بهش ریموت بزنید.در داخل NAT استفاده از TEAM VIEWER وLogmein رو به شما پیشنهاد میکنم. در حالتی که کامپیوتر مقصد پشت NAT و مودم قرار داره در سمت مقصد میتونیم ip رو به جای کارت شبکه، روی مودم setکنیم.و یک rule ست کنیم که یک پورت رو روی سرور forwardکنه. ip رو DNAT میکنیم روی IP INVALID سیستمی که میخوایم به اون ریموت کنیم. یک سرویس درست میکنیم و شماره پورت رو 3389قرار میدیم و یه RULE درست میکنیم :
1
Income IP Public 1.2.3.4 -> (NAT) 192.168.1.2-> service R
و اگه بخوایم به کامپیوتری که توی اون شبکه ست ریموت کنیم باید این دستور رو توی cmd وارد کنیم.
1
iptables -t nat -A PREROUTING -d 1.2.3.4 -j DNAT --to 192.168.1.10
و توی صفحه ی remote آی پی public رو وارد میکنیم. البته این کاری که میگم رو باید در سمت مقصد انجام شده باشه. امیدوارم که کمک کرده باشم. دیدم انگاری کار رو یه خورده بیشتر توضیح دادن یا انگاری تنظیمات بیشتری برای این کار پیشنهاد کردن در صورتی که فقط با تنظیم DMZ میشه به خواسته مورد نظرمون دست پیدا کنیم. میخواستم ببینم آیا این تنظیمات برای امنیت بیشتر هستش یا دلیل دیگه ای داره؟
6 پاسخ
تو هر مبحثی و هر قسمتی از شبکه عملیات امن سازی یا Hardening بخصوصی وجود داره
برای امن کردن کلاینت (مثلاً ویندوزی) از لحاظ ترافیک های ورودی و خروجی، استفاده از Firewall کفایت می کنه بارها تو انجمن اشاره کردم که کسی نمیاد یه سیستم با ویندوز 7 شخصی رو هک کنه! هک کنه که چی بشه؟! ارزششو داره 10 ساعت وقتشو واسه ویندوز 7 تلف کنه؟!
Kali Linux برای تست نفوذ (در بدترین حالت خود نفوذ!) کاربرد داره و برای کار کردن باهاش باید شما نحوه عملکرد پروتکل های شبکرو بدونین تا بدونین نقاط ضعف چیه تا بتونید جلوشو بگیرید. وقتی وارد مبحث شبکه میشید مثلاً دوره های Mikrotik، اونجا آموزش میبینید که چطوری با فایروال شبکرو امن کنید و...
دوست عزیز Port Forwarding زمانی به درد می خوره که شما در داخل شبکه چندین سرور دارید که چندین سرویس رو ارایه میدن مثلاً 3 تا سرور دارید یکیش DNS یکیش Web و دیگری دستگاه DVR
در اینجا استفاده از DMZ روی مودم حلال مشکلات نیست چون فقط میشه 1 سرور رو روی DMZ تنظیم کرد مثلاً همون DNS یا DVR و در این مورد باید از Port Forwarding استفاده کرد تا بشه 3 تا پورت رو به 3 تا سرور با آی پی مختلف Forward کرد.
در مورد امنیت هم: وقتی شما سروری رو در منطقه DMZ قرار میدید یعنی اون سرور رو بدون هیچ گونه نیروی دفاعی! ولش می کنید تو اینترنت، اگه روش فایروال نباشه که همه پورت هارو به غیر از پورتی که سرویس میده (مثلاً 53 واسه DNS) ببنده، اونوقت هکرهای عزیز میتونن به سادگی به سرور شما حمله های مختلف و زیبایی بکنن!
ولی در پورت فورواردینگ همه ترافیک ورودی توسط NAT بلوکه میشه و فقط ترافیک ورودی به پورتی که شما تعیین کردید داده میشه
منم پیشنهاد می کنم به جای RDP از TeamViewer استفاده کنید هم امنیتش بیشتره و هم نیازی به Port Forwarding نداره - RDP زمانی خوبه که شما توسط IPSec VPN دو تا مودم رو به همدیگه متصل کنید (یعنی SIte to Site VPN بزنید و آموزشش هم در انجمن هست) و بعد به آی پی داخلی مورد نظر از طریق RDP کانکت شید. اینم بگم که هر مودمی از IPSec Site-to-Site VPN پشتیبانی نمی کنه.
موفق و ITPro باشید :)
من فکر می کردم به اندازه کافی شفاف توضیح دادم
از خودم نا امید شدم.
چرا آخه این کارو با من میکنی چرااااا
دیاگرام واست کشیدم بعد میای دوباره میپرسی (مثلا ناراحتم)
این لینک سوال اولتون بود
ممنونم nmaxi جان؛ راستش نه برای یادگیری و تست کردن بود. اگه بخوام عملی و در دنیای واقعی راه بندازم حتما از نظرات شما در خصوص امنیت استفاده کرده و یا بیشتر مطالعه خواهم کرد.
nmaxi اگه بخوایم جلو هک و نفوذ هم گرفته بشه بهتره خودمون هم در همون زمینه ها اطلاعاتی داشته باشیم. درست میگم؟؟ بنظر شما یادگیری لینوکس کالی و ابزارهاش و مطالعه بیشتر در خصوص شبکه باعث میشه یه خورده بیشتر جلو حملات هکری مقاومت کرد؟؟ یا نیاز به پایتون و غیره هم هستش؟
سلام دوستان من یک استاتیک از مخابرات مثلا 192.168.10.10 گرفتم ایا این ip استاتیک رو هم در مودم و هم در کارت شبکه وارد کنم ؟یا در مودم طبق توضیحات دوستان مثلا 192.168.10.10در dmzوارد کنم ایا باید همین ip رو تو کارت شبکه سیستم وارد کنم یا این رو تو getway بذارم و قسمت ip کارت شبکه مثلا بکنم192.168.10.11 مثلا من میخوام روی اینترنت بصورت لینک زیر به سرورم دست پیدا کنم
192.168.1010:808