Назад | Перейти на главную страницу

Правило dnat для веб-сервера ИБП. Какой порт?

Чтобы получить доступ к веб-серверу из Интернета, расположенному в частной сети, нам нужно прибегнуть к концепции dnat. Насколько я понимаю, dnat - это своего рода перенаправление портов. Если кто-то из внешней общедоступной сети (например, Интернет) подключается к веб-порту (80) общедоступного адреса маршрутизатора, он прозрачно перенаправляется на IP-адрес веб-сервера, работающего во внутренней сети.

В двух словах:

- router public ip: 159.149.xx.xxx
- web server private ip: 192.168.10.2

Если кто-то пытается подключиться к 159.149.xx.xxx:80, он перенаправляется на 192.168.10.2:80 Это правильно? dnat просто позволяет любому хосту «снаружи» получить доступ к единственному хосту «внутри».

Если мои рассуждения верны, можно ли применить ту же концепцию к microtik routerboard? Техник из Microtik сказал, что он включил порт ether5, с которым он установил связь с внутренней подсетью 192.168.10.0/24. Веб-сервер UPS был размещен в той же локальной сети со статическим ip: 192.168.10.2 Теперь парень сказал: пожалуйста, позвольте Мне известны порты, которые вы хотите активировать, чтобы ИБП был доступен извне. Сказать ему: порт 80? или любой другой порт?

Заранее спасибо.

Отвечая на ваш предыдущий вопрос: да, именно так работает dnat; порт tcp или udp при доступе извне через IP-адрес WAN транслируется / передается на внутреннее устройство.

Вы можете перенаправить порт таким же образом для доступа к маршрутизатору, при условии, что его интерфейс доступа осуществляется через определенный порт tcp или udp, но важно отметить, что

  1. Определенный порт можно сопоставить только один раз на протокол (udp / tcp)
  2. Вы должны учитывать последствия для безопасности, связанные с открытием порта и его перенаправлением на внутреннее устройство (при этом вы должны быть абсолютно уверены, что ваши меры безопасности для защиты службы, с которой порт связывается, находятся в хорошем состоянии)