路由器同时作为DMZ主机

路由器同时作为DMZ主机

我的 Linksys EA6700 无线路由器支持 DMZ。要配置 DMZ,我需要指定 DMZ 主机。

据我所知,DMZ 主机是一台可以从互联网访问的服务器。由于我有一个硬盘连接到路由器并需要访问,因此我预计使用 Linksys 路由器作为服务器。

但是无法从列表中选择。手动输入 IP 会出现错误 2299,详情如下

/jnap/firewall/SetDMZSettings
Status: 200 OK 
Content-Type: application/json; charset=utf-8 
Connection: close 
Content-Length: 48 
Date: Wed, 08 Jan 2014 18:10:58 GMT 
Server: lighttpd/1.4.28 

路由器不能作为 DMZ 主机是一个普遍概念吗?或者这可能是 Linksys EA6700 路由器的一个错误?

更新

从评论来看,直接暴露路由器似乎不是一个好主意。由于 EA6700 还提供端口转发,这样会更安全吗?

答案1

根据您的 EA6700 手册,Linksys 旨在让 SMB(Windows 风格的文件共享)仅在 LAN 上使用,并为 WAN 端访问连接到网关的 USB 磁盘上的文件提供 FTP 服务器支持。

如果 FTP 访问适合您的需要,只需启用 FTP 服务器。

(FTP 非常适合下载和上传完整文件,但它实际上并不意味着将服务器的存储视为本地磁盘。因此,它不擅长直接在服务器上编辑文件,或仅读取或写入文件的部分内容,或用于流式传输音频或视频。SMB 旨在将远程磁盘视为本地磁盘,因此它适合直接在服务器上编辑文件,读取/写入文件的部分内容,并且它适合流式传输,尽管大多数专用流式传输协议在流式传输方面会更好。)

如果您将 SMB 服务器暴露给互联网,请注意 SMB 相关端口是互联网上最容易受到攻击的端口之一。请确保在 SMB 服务器主机上启用的所有帐户都具有极强的密码,因为您可以预料到您的服务会受到自动暴力破解密码的攻击。还要注意,有时 SMB 破解恶意软件会成为一个大问题,以至于某些 ISP 默认阻止访问典型的住宅宽带服务中的 SMB 相关端口,因此如果 SMB 不起作用,您可能需要咨询您的 ISP 以解除这些端口的阻止。

SSH 和 FTP 端口也相当容易受到攻击,因此一定要确保在所有地方都使用极强的密码,即使您选择通过 FTP 或 SCP 而不是 SMB 提供文件访问。

答案2

如果您需要允许人们下载文件并且不需要身份验证,那么我会花 35 欧元买一块小电路板(比如 Raspberry Pi)。将您的磁盘插入其中。我会在其上安装 Linux,运行 Nginx 或 Apache Web Server 或 Lighttpd 等 Web 服务器,将 Linux 防火墙设置为仅允许您的 Web 服务器正在运行的端口,将电路板插入路由器并执行以下操作之一:

  • 将板卡 IP 地址设置为 DMZ;或者
  • (我喜欢的解决方案)在路由器上设置端口转发,将外部端口重定向到主板的内部端口。

为什么要采用这样的解决方案?与 FTP 服务器相比,正确保护 HTTP 服务器要容易得多,而且您无需管理授予文件访问权限的帐户。此外,为简单的 HTTP 服务器设置良好的“监狱”要容易得多,这样恶意用户就无法做太多事情,只能下载您提供的文件。最后,ISP 极少会阻止标准 HTTP (80) 和 HTTPS (443) 端口。

如果你有 Raspberry Pi,只需安装新手安装程序,这样安装 Linux 真的很容易(提示时选择 Raspbian)。然后安装 Web 服务器也是轻而易举的事(查看此示例安装 nginx),配置有点更复杂防火墙部分是有点棘手如果您从未这样做过,并且如果您使用端口转发(而不是 DMZ),那么您可以跳过这一步,因为您的路由器将完成大部分防火墙工作。

最后,您应该尝试查看您的 ISP 为您提供的是静态 IP 地址还是动态 IP 地址。如果是静态 IP 地址,只需购买域名或仅使用 IP 地址让人们下载您的文件即可。如果是动态 IP 地址,请使用众多 DDNS 服务之一,这些是与动态 IP 地址配合使用的 DNS 服务,您的 Linksys 路由器可能提供 DDNS 设置。请注意,某些 DDNS 服务可能需要一些费用。

相关内容