Настройка DMZ на роутере
Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.
Установка статического IP-адреса
Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.
Следует обратить внимание, что IP-адрес, заданный компьютеру не должен быть в диапазоне адресов, раздаваемых. На этом настройка компьютера завершена и можно переходить к настройкам роутера. На этом настройка компьютера завершена и можно переходить к настройкам роутера
На этом настройка компьютера завершена и можно переходить к настройкам роутера.
Настройка роутера
Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.
Находим соответствующий пункт меню в веб-интерфейсе устройства:
- На роутерах Asus нужная вкладка так и называется – DMZ.
- На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
- У D-Link ищите пункт «Межсетевой экран».
В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.
Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.
Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.
Создание DMZ удобный способ упростить работу нужных программ, однако следует иметь в виду, что открытый доступ к ПК повышает риски сетевых атак и заражения вирусами.
Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.
DMZ в роутере — это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера.
Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки интернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения.
Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.
DMZ — это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:
-
Ввести в настройках DMZ роутера IP видеорегистратора
Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS
Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?
Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.
Ручная настройка
Кроме быстрой настройки, существует также ручная, которая позволяет настроить больше параметров. В этом режиме настраивается локальная сеть (LAN), подключение к интернету. На некоторых моделях роутера также доступна настройка соединения через 3G модем.
В первую очередь нужно настроить локальную сеть. Для этого в левом меню выбираем строку «Сеть» и открываем настройки «LAN». Здесь нужно убедиться, что режим DHCP сервера разрешен. Можно также изменить диапазон раздаваемых IP-адресов и время, на которое они выдаются. Другие настройки лучше оставить без изменений.
После этого можно приступать к настройке интернет соединения.
Пошаговый алгоритм:
- Выберите в левом меню пункт «Сеть», потом строку «WAN».
- Укажите провайдера и тип соединения. Если вашего поставщика интернета нет в списке, оставьте в поле «Провайдер» значение по умолчанию («Вручную»).
- Если в пункте режим подключения вы выбрали PPPoE, то в новом окне браузера можно изменить имя соединения и интерфейс. В разделе «PPP» требуется ввести имя пользователя и пароль, которые назначил вам поставщик интернет.
- После ввода всех данных нажмите кнопку «Применить», чтобы завершить настройку параметров подключения.
Если маршрутизатор поддерживает 3G модемы, то чтобы настроить такое подключение нужно:
- Зайти в раздел меню «3G/LTE-модем» и в разделе «Параметры» поставить галочку в строке «Автоматическое создание LTE/3G соединения».
- В пункте «PIN» «Управление PIN-кодом» можно установить аутентификацию подключения по PIN-коду. Для этого нужно ввести код и нажать кнопку «Включить запрос PIN-кода». После этого при каждом подключении нужно будет вводить код.
Некоторые модели маршрутизаторов D-Link могут работать с протоколом DDNS, который используется для автоматического обновления информации о доменном имени на DNS сервере. Она может применяться для доступа к настройкам роутера через интернет, доступа к системе видеонаблюдения и в других случаях, когда необходим статический IP адрес.
Список провайдеров DDNS, поддерживаемых вашей моделью роутера, можно найти, зайдя в меню «Дополнительно» и перейдя в раздел «DDNS». Здесь в выпадающем меню «DDNS-сервис» можно найти перечень компаний, предоставляющих данные услуги. Перейдя на один из сайтов из этого списка, нужно зарегистрироваться. После регистрации вы получите имя пользователя и пароль, которые необходимо ввести в окне «DDNS».
После этого в пункте «Маршрутизация» нажмите кнопку “Добавить” и укажите IP-адрес, для которого устанавливается статическая маршрутизация.
1.6 Настройка DHCP серверов
Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
Настраиваем DHCP сервер внутренней сети предприятия:
- Откройте меню IP — DHCP server;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_main;
- В списке Interface выберите интерфейс офисной сети bridge_main;
- В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
- Нажмите кнопку OK.
Настраиваем DHCP сервер гостевой сети аналогичным образом:
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_vlan2;
- В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
- В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
- Нажмите кнопку OK.
Теперь переходим на вкладку Networks и добавляем наши сети:
Добавляем сеть предприятия:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.88.0/24;
- В поле Gateway укажите адрес шлюза 192.168.88.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
- Нажмите кнопку OK.
Добавляем гостевую сеть:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.10.0/24;
- В поле Gateway укажите адрес шлюза 192.168.10.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
- Нажмите кнопку OK.
[edit] Инструкция
Создание гостевой точки доступа
На вкладке Wireless → Basic Settings панели управления DD-WRT нажмите кнопку «Add» в разделе «Virtual Interfaces». Будет создан новый виртуальный интерфейс с названием
-
- Virtual Interfaces wl0.1 SSID HWAddr
Обратите внимание на строку после «Virtual Interfaces» (в данном примере это «wl0.1» для маршрутизатора Linksys, использующего чип Broadcom), так как это поможет вам определить правильный раздел на последующих страницах панели управления, в котором будут изменяться параметры.
Измените имя беспроводной сети Wireless Network Name (SSID) со значения по умолчанию «dd-wrt_vap» на то, как оно будет отображаться для гостевых пользователей при подключении к вашей сети, например «MyNetwork_guest».
Установите AP isolation в значение «Enable», чтобы гостевые пользователи не могли видеть друг друга. AP Isolation запрещает весь трафик между клиентами, подключенными к точке доступа VAP. Это рекомендуется для предотвращения атак через гостевой Wi-Fi.
Нажмите на кнопку Save внизу страницы. Если вы не нажмете кнопку Save, то сделанные вами настройки будут потеряны при переключении с одной вкладки на другую.
Перейдите на вкладку Wireless → Wireless Security, чтобы установить тип безопасности и пароль беспроводной сети. Хотя VAP может функционировать без шифрования и пароля, это может привести к злоупотреблению и, следовательно, не рекомендуется. Нажмите на кнопку Save внизу страницы.
Установите для параметра Network Configuration значение Unbridged, Enable NAT (предоставляет гостям доступ в Интернет) и enable Net isolation (создает правила брандмауэра, блокирующие доступ гостям в частную сеть). Сетевая изоляция работает только на интерфейсе без моста в новых сборках, начиная со сборок:
- Broadcom (23020);
- Atheros (24759);
- MediaTek / Ralink (25934).
AP Isolation = Гости не могут видеть друг друга в гостевой сети
Net isolation = Гости не могут видеть вашу частную сеть
Включите Forced DNS Redirection и введите IP-адрес сервера OpenDNS (208.67.222.222) в поле «Optional DNS target». Это не позволит пользователям использовать свои собственные DNS-серверы (и, следовательно, обойти фильтрацию содержимого), перехватывая DNS-запросы и заставляя их использовать указанные вами DNS-серверы. Введите IP-адрес и маску подсети, например, 172.16.1.1 / 255.255.255.0 (частные сети используют IP-адреса в диапазоне от 172.16.1.1 до 172.16.1.255). Нажмите кнопку «Save», затем нажмите кнопку «Apply» в нижней части страницы. Подождите примерно 30 секунд для создания нового интерфейса (например, wl0.1).
Хотя эта точка доступа VAP теперь будет отображаться при сканировании доступных точек доступа Wi-Fi, вы еще не сможете подключиться к ней. Вы должны включить DHCP для клиентов.
Включение DHCP для гостевой сети
Следующим шагом является включение DHCPd для гостевого Wi-Fi.
Перейдите в Setup → Networking, в разделе DHCPd добавьте DHCP-сервер для новой гостевой сети. Нажмите Add, затем выберите VLAN (например, ath0.1) из выпадающего меню. Выберите начальный и максимальный IP-адреса, а также время аренды. Нажмите Save и Apply. Подождите около 30 секунд и попробуйте подключиться к гостевому Wi-Fi. Если он не работает, выключите и снова включите маршрутизатор. Вы должны иметь возможность просматривать Интернет, но не подключаться к частной сети и не видеть других пользователей сети.
Примечание. Для более нового метода, использующего DNSMasq вместо DHCPd, см. .
Настройка IPTV
Настройка IPTV производится в следующем порядке:
- Перейдите в пункт меню «Дополнительно», раздел «VLAN» и открыть профиль «LAN».
- В открывшемся окне требуется снять галочку с порта, на который планируется подключить телевизор. Можно отметить несколько портов, если имеется несколько TV приставок.
- После того как вы нажмете «Сохранить», вы вернетесь к первоначальному окну «Дополнительно/VLAN», здесь нужно нажать кнопку «Добавить» в правом нижнем углу.
- В результате загрузится окно, в котором необходимо ввести следующие данные: имя, тип (прозрачный), VLAN ID (значение этого параметра необходимо узнать у провайдера), тегированный порт (выбираем WAN) и ставим галочку в строке «Нетегированный порт».
В результате в окне «Дополнительно/VLAN» должен появиться новый профиль.
Как настроить виртуальные серверы на TP-Link Wi-Fi маршрутизаторах (новый синий веб-интерфейс)
Виртуальные серверы: если вы создаёте сервер в локальной сети и хотите сделать его доступным в интернете, реализовать эту услугу и предоставить её пользователям сможет виртуальный сервер. В то же время виртуальный сервер позволяет сохранять безопасность локальной сети, поскольку прочие службы будут по-прежнему невидимы из интернета.
Виртуальный сервер может быть использован для настройки публичных служб в вашей локальной сети, таких как HTTP, FTP, DNS, POP3/SMTP и Telnet. В разных службах используются разные служебные порты. Порт 80 используется службой HTTP, порт 21 — в FTP, порт 25 — в SMTP и порт 110 — в POP3. Перед настройкой проверьте номер служебного порта.
Пример настройки
Например, персональный веб-сайт был создан на моем домашнем ПК (IP-адрес: 192.168.0.100). Я хочу, чтобы мои друзья могли посещать мой сайт через интернет.
ПК подключен к маршрутизатору с WAN IP-адресом 218.18.232.154.
Маршрутизатор LAN WAN: 218.18.232.154
Назначьте статический IP-адрес компьютеру, например 192.168.0.100
Выполните следующие действия:
Примечание: Настройка производится на примере модели Archer C9.
Войдите в веб-интерфейс Archer C9. Прочитайте статью Как войти в веб-интерфейс Wi—Fi роутера , для получения инструкции о том, как зайти в веб-интерфейс маршрутизатора.
Шаг 2
Нажмите Advanced (Дополнительные настройки) вверху справа, затем в левой части выберете NAT Forwarding (NAT переадресация) -> Virtual Servers (Виртуальные серверы) -> Add (Добавить).
Нажмите View Existing Services (Просмотр существующих сервисов) и выберите HTTP External port (внешний порт), internal port (внутренний порт) и protocol (протокол) заполнятся автоматически. Введите адрес компьютера 192.168.0.100 в поле Internal IP (внутренний IP-адрес).
Нажмите ОК, чтобы сохранить настройки.
1. Рекомендуется сохранить настройки по умолчанию для внутреннего порта и протокола, если вы не знаете, какой порт и протокол использовать.
2. Если служба, которую вы хотите указать, не прописана в Service Type (списке сервисов), то вы можете ввести соответствующие параметры вручную. Необходимо проверить номер порта, который необходим службе.
3. Вы можете добавить несколько правил виртуального сервера, если хотите предоставить несколько сервисов в маршрутизаторе. Пожалуйста, помните, что внешние порты не должны повторяться (дублироваться).
Для посещения вашего веб-сайта пользователи в интернете могут входить по адресу http:// WAN IP (в этом примере: http:// 218.18.232.154).
Примечание: Ваши настройки не вступят в силу, если функция NAT отключена. Перейдите на страницу Advanced (Дополнительные настройки) > System Tools (Системные инструменты)> System Parameters (Параметры системы) чтобы включить NAT.
Рекомендации:
1. WAN IP-адрес должен быть публичным (белым/внешним). Если WAN IP назначается динамически интернет-провайдером, рекомендуется зарегистрировать и использовать доменное имя для WAN IP (см. настройка учетной записи службы DDNS). В дальнейшем вы сможете набрать в адресной строке http:// имя домена, чтобы посетить веб-сайт.
Если вы не уверены в том, как настроить static IP (статический IP) на устройстве, вы можете настроить Address Reservation (резервирование адреса) по инструкции Как настроить резервирование адресов на Wi-Fi роутерах TP-Link (новый синий пользовательский интерфейс), так что один и тот же IP адрес всегда будет присвоен вашему устройству.
2. Если вы изменили внешний порт со значения по умолчанию, вы должны использовать http:// WAN IP: Внешний порт или http:// имя домена: Внешний порт для посещения веб-сайта.
3. Убедитесь, что сервер доступен из внутренней сети. Вы можете проверить, получаете ли вы доступ к этому серверу внутри локальной сети. Если вы не можете получить доступ к серверу в локальной сети, проверьте настройки своего сервера.
Узнайте больше о каждой функции и настройки, перейдите в раздел ЗАГРУЗКИ на вашем веб-сайте, чтобы загрузить руководство по вашему продукту.
источник
Настройка роутера для использования в режиме репитера
Этот процесс состоит из двух этапов (по количеству используемых роутеров). Первый из них заключается в выполнении таких действий:
1. Зайдите в настройки роутера, который изначально раздает Wi-Fi (будем называть его первым). Обычно это делается путем ввода в адресную строку браузера одного из двух адресов: 192.168.0.1 или же 192.168.1.1. Дальше нужно будет ввести логин и пароль, которые обычно указываются на самом устройстве. Если вы что-то меняли в этих настройках, то знаете о том, как зайти в данное меню.
2. Дальше перейдите в раздел «Wireless» или «Беспроводная сеть». Там найдите строку «Channel», то есть «Канал». Все, что нужно знать нам в этом случае, так это то, что на обоих роутерах значение этого параметра должно быть одинаковым. Для примера выставим его «6».
Рис. 5. Настройка параметров беспроводной сети
3. На этом настройка первого устройства закончена. Дальше подключите второе к компьютеру при помощи кабеля, зайдите в настройки (так же, как мы говорили выше) и откройте меню «WPS». В нем нажмите на кнопку «Disable WPS». Не будем вдаваться в подробности, что это такое.
4. Перезагрузите второй роутер, то есть отключите его от розетки и подключите заново. То же самое можно сделать, если нажать на надпись «click here», которая появится после выполнения предыдущего шага.
5. После этого зайдите в меню «Network» и подменю «LAN». В поле «IP Address» введите новый IP-адрес. Он должен быть больше того, который был, на единицу. То есть изначально было 192.168.0.1, а теперь нужно ввести 192.168.0.2, как это показано на рисунке 6. Нажмите кнопку «Save», чтобы сохранить настройки.
6. Теперь в адресную строку введите адрес, который был указан в предыдущем шаге.
Рис. 6. Первые этапы настройки роутера в режиме повторителя
7. Предыдущий шаг позволит вам снова перейти в настройки второго роутера. Снова зайдите в раздел «Wireless» и в подраздел «Wireless Settings». Там нас будут интересовать следующие параметры:
- «Wireless Network Name» — имя сети, которую будет раздавать второй роутер;
- «Region» — регион (страна, в которой вы живете);
- «Channel» — канал (выше мы говорили, что для примера возьмем его значение 6);
- «Enable WDS Bridging» — просто поставьте галочку, это пункт, который включает WDS.
8. Нажмите на кнопку «Survey», чтобы продолжить работу.
9. Дальше вы попадете на страницу, где указаны доступные беспроводные сети. Нажмите на надпись «Connect» возле той, которую раздает первый роутер.
Рис. 7. Настройка второго роутера и подключение к первому
10. После этого останется ввести пароль к сети, к которой мы пытаемся подключиться. Для этого введите тип шифрования, используемый в первом роутере (делается это в поле «Key type»). Дальше укажите пароль в поле «Password» и нажмите кнопку «Save», чтобы сохранить сделанные изменения.
Рис. 8. Окончание подключения второго роутера к первому
Вот и все! Теперь сеть должны работать нормально.
Подсказка: WDS – это есть режим повторителя.
Достаточно сложно.
Но из всей вышеописанной процедуры можно извлечь тот самый алгоритм, который подходит для подключения любых двух роутеров и использования второго в качестве повторителя. Выглядит он следующим образом:
- включаем на первом возможность использования его сигнала репитером;
- ставим на обеих одинаковый канал (хотя это нужно не всегда, но если в настройках есть соответствующий пункт, укажите его значение);
- подключаем второй к первому в режиме повторителя;
- пользуемся.
Процедура, изложенная выше, показана на примере роутеров TP-LINK. В некоторых случаях есть пункт, который называется «Повторитель» (не «WDS»), если у настроек устройства русский интерфейс. Он может находиться в самых разных разделах, поэтому вам придется поискать его. Но как бы там ни было, если этот пункт есть, вы точно сможете его найти.
А что если у меня ничего не выходит?
Если у вас что-то не получается, есть несколько вариантов:
- Попробуйте выполнить все вышеописанные процедуры заново, с самого начала.
- Напишите в комментариях под этой статьей, на каком этапе у вас возникают проблемы, мы обязательно поможем вам.
- Обратитесь за помощью к производителю устройств (хотя бы одного из двух), которые вы используете.
- Вызовите на дом специалиста от своего провайдера. Эти люди должны помогать своим клиентам пользоваться интернетом так, как им удобно.
Но манипуляций там не так много, как может показаться на первый взгляд, поэтому все их сможет выполнить даже начинающий пользователь. Главное – следовать вышеописанному алгоритму и придерживаться (хотя бы примерно) порядка действий, о котором мы также говорили ранее. Успехов в настройке!
26.5.4. Интеграция с FreeBSD
DHCP клиент от OpenBSD, dhclient, полностью интегрирован во
FreeBSD. Поддержка клиента DHCP есть как в программе установки, так и в самой системе,
что исключает необходимость в знании подробностей конфигурации сети в любой сети, имеющей
сервер DHCP.
DHCP поддерживается утилитой sysinstall. При настройке
сетевого интерфейса из программы sysinstall второй вопрос,
который вам задается: »Do you want to try DHCP configuration of the interface?»
(»Хотите ли вы попробовать настроить этот интерфейс через DHCP?»). Утвердительный ответ
приведёт к запуску программы dhclient, и при удачном его
выполнении к автоматическому заданию информации для настройки интерфейса.
Есть две вещи, которые вы должны сделать для того, чтобы ваша система использовала
DHCP при загрузке:
-
Убедитесь, что устройство bpf включено в компиляцию
вашего ядра. Чтобы это сделать, добавьте строчку device bpf в
конфигурационный файл ядра и перестройте ядро. Более подробная информация о
построении ядер имеется в Гл. 8.Устройство bpf уже является частью ядра GENERIC, которое поставляется вместе с FreeBSD, так что, если вы не
используете другое ядро, то вам и не нужно его делать для того, чтобы работал DHCP. -
По умолчанию, конфигурирование FreeBSD по протоколу DHCP выполняется фоновым
процессом, или асинхронно. Остальные стартовые скрипты
продолжают работу не ожидая завершения процесса конфигурирования, тем самым ускоряя
загрузку системы.Фоновое конфигурирование не создает проблем в случае, если сервер DHCP быстро
отвечает на запросы, и процесс конфигурирования происходит быстро. Однако, в некоторых
случаях настройка по DHCP может длиться значительное время. При этом запуск сетевых
сервисов может потерпеть неудачу, если будет произведен ранее завершения
конфигурирования по DHCP. Запуск DHCP в синхронном режиме
предотвращает проблему, откладывая выполнение остальных стартовых скриптов до момента
завершения конфигурирования по DHCP.Для осуществления фонового конфигурирования по DHCP (асинхронный режим), используйте
значение »DHCP» в /etc/rc.conf:ifconfig_fxp0="DHCP"
Для откладывания запуска стартовых скриптов до завершения конфигурирования по DHCP
(синхронный режим), укажите значение »SYNCDHCP»:ifconfig_fxp0="SYNCDHCP"
Если dhclient в вашей системе находится в другом месте или
если вы хотите задать дополнительные параметры для dhclient,
то также укажите следующее (изменив так, как вам нужно):dhclient_program="/sbin/dhclient" dhclient_flags=""
Преимущества и недостатки
У ДМЗ есть свои плюсы и минусы. Сначала рассмотрим положительные стороны:
- Повышение защищенности внутренней сети и отдельных сервисов. Даже если взломали одно устройство, находящееся в демилитаризованной зоне, то внутренняя сеть и другие узлы dmz останутся в безопасности.
- Простота первичной настройки.
- Доступно на большинстве маршрутизаторов, даже предназначенных только для домашнего использования.
Минусы тоже есть, и в некоторых случаях они перечеркивают все плюсы:
- Необходимо иметь статический IP-адрес, который предоставляет только провайдер.
- Само создание DMZ никак не повышает защиту устройств, которые были вынесены в этот сегмент. То есть что сервер в dmz, что камеру придется защищать отдельно. Устанавливать ограничения доступа, пароли или придумывать какую-то отдельную защиту.
Защита устройств, которые будут выставлены в интернет, подразумевается сама собой, если вы не собираетесь создать общедоступный файловый сервер, на котором каждый делает то, что хочет. К тому же порты в dmz открыты, так что их можно спокойно использовать. Если подключаться к глобальной сети по методу проброски портов, то некоторые из них будут заняты и не смогут использоваться.