Добрый день!

Была у меня такая конфигурация: ethernet от провайдера входил в OpenBSD box, на котором крутились несколько сервисов (FTP с поддержкой активного и пассивного режимов, Web, SSH). На втором сетевом интерфейсе этой машины жила небольшая сетка с доступом в инет через NAT. Кроме того, там же крутился FTP Proxy для того, чтобы машины из интранета могли ходить наружу на фтп-сервера, которые работают только в активном режиме.

Потом возникла проблема: провод от провайдера обрезали, а тянуть новый далеко и лениво.

Хочу: в точке, где входит провод от провайдера поставить DI-624, в OpenBSD box воткнуть DWL-G520. Однако мне нужно, чтобы все сервисы остались видимы в сети провайдера. С SSH и Web проблем никаких, а вот с фтп-сервером и фтп-прокси проблематично. Дело в том, что для нормальной работы они должны открывать на внешнем интерфейсе произвольные порты, а за обычным NAT-ом такой номер не пройдёт. Вроде как для этого и придумали DMZ на маршрутизаторе DI-624.

Хотелось бы услышать подтверждение или опровержение следующих моих утверждений:

1. В DMZ включается именно IP-адрес на любом внутреннем интерфейсе, но не отдельный сетевой интерфейс.

2. Поддержка DMZ реализована программно, а не аппаратно, т.е. WAN-порт всегда отделён от остальных 4-х 10/100BASE-TX и одного 802.11g интерфейсов встроенным файрволом. Невозможно сконфигурировать мост между WAN-интерфейсом и другим внутренним интерфейсом, т.е. внести в DMZ внутренний интерфейс целиком со всеми хостами, которые там сидят.

3. Можно включить в DMZ хост, который работает с маршрутизатором через WiFi, при этом любые другие хосты, работающие через WiFi останутся недоступны снаружи (через WAN-интерфейс).

4. Для работы DMZ достаточно иметь только один внешний IP-адрес назначенный WAN-интерфейсу. Хост, прописанный в DMZ всегда имеет внутренний IP.

5. Механизм DMZ должен быть реализован как "обратный" NAT. Это означает, что входящие соединения на WAN-интерфейс должны транслироваться порт-в-порт на внутренни IP адрес хоста, помещённого в DMZ. Естественно, это правило не применяется для портов, для которых прописаны форвардинги (т.н. "виртуальные сервера").

Так вот, что-то мне подсказывает, что DMZ работает криво и "обратный" NAT фактически не реализован. Этот вывод я сделал на основании темы Настройка Firewall в DI-624+ как?, где в последнем посте звучит фраза: "из-за NAT голосовые шлюзы не работают по причине использования динамически выделяемых портов". Поправте меня, если я ошибаюсь.

И еще маленький вопрос: можно ли администрировать DI-624 через WAN-интерфейс? а через WiFi?

попробуй виртуальные серверы, встроенные в роутер. у мя на компе тоже фтп есть, как роутер воткнул - он перестал работать. включил виртуальный фтп на роутере - все гуд.
через вай-фай админить мона. я с ноута захожу. через wan тоже можно, если это включить в опциях роутера.

_________________
with best regards,
kon Keicy Raibek!