Вопрос или проблема
У меня есть сеть позади межсетевого экрана OPNsense.
WAN-интерфейс межсетевого экрана OPNsense — это единственное Ethernet-устройство, подключенное к маршрутизатору, предоставленному интернет-провайдером. Я должен поддерживать этот маршрутизатор для функциональности VoIP-телефонии. Если бы не необходимость использования маршрутизатора провайдера для VoIP, я бы вообще обошел его, подключив OPNsense напрямую к оптоволокну; никакие другие устройства не будут подключены к маршрутизатору, все устройства будут подключены под OPNsense.
В настоящее время я перенаправил все порты (1-65535) с маршрутизатора провайдера на IP-адрес межсетевого экрана OPNsense.
В качестве альтернативы я мог бы настроить IP-адрес межсетевого экрана OPNsense как сервер DMZ по умолчанию на маршрутизаторе провайдера, верно?
В чем разница между этими двумя подходами?
Это зависит от того, что представляет собой маршрутизатор провайдера. Но, скорее всего, в этих SOHO-устройствах функция “DMZ-хост” на самом деле означает просто “DNAT все на этот хост”, так что, вероятно, для вас нет никакой разницы. Обратите внимание, что, скорее всего, это называется не “DMZ”, а “DMZ-хост”. Это просто какой-то не очень умный производитель SOHO-маршрутизаторов ошибочно назвал эту простую функцию DNAT всего на один хост “DMZ-хостом”, и все остальные последовали, не думая о том, что это создаёт путаницу с отдельным термином DMZ.
С точки зрения сетевой безопасности термин DMZ несет совсем другое значение. Он расшифровывается как демилитаризованная зона и, как правило, означает сеть, которая:
- Отделена от “внутренних” зон локальной сети, в частности, имеет отдельный IP-префикс сети,
- Находится за тем же маршрутизатором, что и “внутренние” локальные сети,
- Как правило, содержит системы, предоставляющие публичные услуги не для локальной сети, а для Интернета, для которых большинство переадресаций портов на маршрутизаторе заканчивается в этой зоне,
- Не может инициировать соединения с локальными сетевыми зонами; она считается такой же, как “Интернет” с точки зрения безопасности.
По сути, это сеть для публичных серверов, которые оказались за тем же маршрутизатором и доступны на скоростях локальной сети и без учета трафика от провайдера. Когда возникает необходимость в коммуникации между серверами DMZ и локальной сетью (по какой бы то ни было причине, будь то создание резервных копий, загрузка обновлений данных или что-то ещё), соединение инициируется со стороны локальной сети, так же как если бы сервер находился далеко и был доступен только через публичный Интернет.
Ответ или решение
Роутеры, предоставляемые интернет-провайдерами (ISP), часто не обладают гибкостью настройки и безопасности, которые может предложить специализированное сетевое оборудование, такое как OPNsense. В рассматриваемом вопросе у нас есть два подхода к настройке сети: проброс всех портов через NAT и настройка DMZ. Эти методы имеют свои особенности, которые необходимо учитывать.
Теория
Для начала разберемся в теории обоих подходов.
Network Address Translation (NAT, проброс всех портов)
NAT — это технология, которая позволяет переадресовывать трафик с внешнего интерфейса устройства на внутренние IP-адреса. Когда говорится о "пробросе всех портов", это означает, что весь входящий трафик с внешнего интерфейса ISP-роутера будет перенаправляться на определенный IP-адрес за ним, в данном случае — на OPNsense. Это делается для того, чтобы пользователь мог обрабатывать трафик и управлять им по мере необходимости, используя более продвинутое оборудование.
DMZ (демилитаризованная зона)
В идеальной концепции DMZ — это отдельный сегмент сети, используемый для размещения публичных серверов, которые необходимы для предоставления услуг в интернете, таких как веб-серверы или почтовые серверы. Этот сегмент отделен от основной локальной сети и имеет отдельные правила безопасности, чтобы минимизировать угрозу при взломе публичных сервисов. Однако, в контексте SOHO (Small Office/Home Office) роутеров, термин "DMZ-хост" обычно означает простую перенаправку всего трафика на один конкретный внутренний IP-адрес, что практически является аналогом проброса всех портов.
Пример
Рассмотрим пример использования каждой из данных технологий.
-
NAT (проброс всех портов): Вы настроили проброс всех портов на IP-адрес OPNsense, который принимает весь входящий трафик, перенаправленный с роутера ISP. Это позволяет вам использовать возможности OPNsense для фильтрации, мониторинга и управления трафиком. Например, использование правил firewall OPNsense для ограничения доступа или для приоритизации трафика.
-
DMZ: В реальных устройствах ISP часто используется так называемый "DMZ-хост", что фактически соответствует перенаправлению всего трафика на один внутрений IP-адрес, аналогично NAT с пробросом всех портов. Важно понимать, что "DMZ-хост" в контексте домашних или небольших офисных роутеров не предоставляет полных преимуществ настоящей DMZ, описанных в теории, так как фактически это то же перенаправление.
Применение
С точки зрения применения, оба подхода в вашем случае будут функционировать схоже, учитывая ограничения оборудования ISP и используемую терминологию. Оба метода перенаправляют весь трафик на OPNsense, предоставляя тем самым вам контроль над управлением сети через это устройство.
Однако стоит помнить о некоторых важных аспектах:
-
Безопасность: Независимо от используемого метода, перекрестный проброс всего трафика может представлять угрозу безопасности. Важно обеспечить надлежащую настройку защитных механизмов на стороне OPNsense, включая использование firewall, VPN и других функций для защиты внутренней сети.
-
Гибкость конфигурации: Используя OPNsense, вы получаете возможность гибко настраивать правила обработки трафика, балансировки нагрузки и другие параметры, что может быть менее доступным в случае простой настройки DMZ-хоста на ISP-роутере.
-
Пропускная способность и латентность: Если ваш ISP-роутер ограничивает скорость или увеличивает латентность при пробросе трафика, OPNsense может предоставить более эффективное управление сетевыми потоками, если бы оно было прямо подключено к внешнему интернет-каналу.
В заключение, выбор между NAT с пробросом всех портов и использованием DMZ-хоста должен быть основан на специфике вашего сетевого окружения и на возможностях вашего оборудования. В большинстве сценариев, особенно в контексте оборудования для небольших офисов или домашних сетей, различие между ними может быть минимальным с точки зрения функциональности, но важно понять механизмы и потенциал угроз для принятия наилучшего решения.