缺省dmz服务器 路由器中的虚拟服务器和DMZ
大家好,今天来为大家解答缺省dmz服务器这个问题的一些问题点,包括路由器中的虚拟服务器和DMZ也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下本站哦,谢谢~
路由器下怎么建立FTP服务器
一、路由器下的FTP服务端:
路由器下的FTP服务端,需要解决一个“安全验证”问题,IE客户端会核对服务端的IP
地址,因为服务端是内外两个IP,而使IE客户端安全验证失败,但专业FTP客户端CuteFTP9、LeapFTP3
可以不核对IP验证,而使访问成功,但用户总是喜欢IE做客户端,为此需要找一个解决“安全验证”
的FTP服务端,FileZilla FTP Server就是最实用小巧的FTP理想服务端,只有1M多一点,非常小巧。
二、路由器下的FTP服务端要被外网IE访问的因素:
1. FTP服务端WINDOWS电脑要关闭自带的防火墙或设成FTP服务程序为“例外”;
2.路由器下的电脑服务器要设成路由器的DMZ主机,这样服务端端口就.开.放在外网,
才能被外网所访问,所以,服务端电脑要设成静态IP如 192.168.1.10,并把路由器的
DMZ主机设为此IP,设DMZ后就不需要再设.端.口.映.射.了;
3. FileZilla FTP SERVER要设成被动方式PASV,并要指定一个外网IP,以解决NAT的安全验
证问题,否则,客户端不能被WINDOWS的IE所访问,但能被CuteFTP访问;
4.外网的端.口不能被运营商所封或者不能是共享外网IP地址的NAT代理,端口会因NAT改变;
三、FileZilla FTP Server需要的设定:
1.需要设定为 Passive被动模式:端口范围可为设为 10000-10050
2.指定的IP要设为外IP:以解决“安全验证”问题
这个外IP就是将要被访问的FTP://外IP
3.用户增加 anonymous,密码不设,这是匿名方式;
4.共享文件夹设成你的一个被访问目录;
5.其它21号服务端口等缺省参数不需改动。
四、程序说明:
一、FileZilla server.exe这是后台服务程序,运行后启动服务就可;
二、FileZilaa Server Interface.exe这是界面管理程序,让管理员设定参数的;
路由器中的虚拟服务器和DMZ
配置步骤
1、WEB服务器
1)内网搭建好服务器,保证内网pc可以正常访问,以及该服务器可以正常访问互联网;
2)登陆路由器的管理界面,选择“转发规则”->“虚拟服务器”,进行对应的端口映射设置。如在外部使用8080端口访问内部80端口的WEB服务器。
◆服务名称:填入该虚拟服务器规则的名称,最多支持28个字符。
◆外部端口:填入路由器提供给广域网访问时使用的端口,如本例中使用8080端口。
◆内部端口:填入局域网中服务器的端口,如本例中是80端口。
◆服务协议:可以选择TCP,UDP协议,或者可以都选(根据内网服务器而定)。
◆内部服务器IP:填入局域网中WEB服务器的IP地址,如本例中是192.168.1.100。
◆启用/禁用规则:“启用”表示此规则生效,“禁用”表示此规则不生效。
填入所有的信息后,点击“新增”按钮,即可添加完成。添加后的规则信息如下:
3)设置完成后,外网pc可以使用路由器的WAN口IP加外部端口号来访问内网的WEB服务器(假设本例WAN口IP为1.1.1.1,访问方式为http://1.1.1.1:8080)。
4)如果WAN口IP是通过PPPOE拨号或者动态获取的,用户可以通过申请花生壳动态域名,实现通过域名来访问内部服务器。
注意:若服务器对外开放端口是80端口,在实施端口映射前需要将路由器的管理端口更改,更改方法为:管理界面->系统服务->WEB服务器->服务端口->WEB服务端口,将默认的80端口修改为88或其他端口。修改后登陆路由器管理界面的方法为:http://LAN口IP地址:新端口。
DMZ主机
但在在某些特殊情况下,用户希望让局域网中的一台计算机完全暴露给广域网,以实现双向通信,此时可以把该计算机设置为DMZ主机。当外网用户访问路由器的外网地址时,其实访问的就是局域网中的计算机。
局域网中设置DMZ(Demilitarized Zone,非军事区)主机后,该主机将完全暴露给广域网,可以实现双向无限制通信。
DMZ主机实际上就是一个开放了所有端口的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成DMZ主机。
选择菜单转发规则→DMZ主机,可以在图 5-28所示界面中设置DMZ主机。
▲DMZ主机
DMZ状态:选择是否启用DMZ主机功能。
DMZ主机IP地址:输入要设置为DMZ主机的局域网计算机的静态IP地址。
完成设置后,点击保存按钮。
实例:把局域网中IP地址为192.168.0.10的计算机设置为DMZ主机,以实现它与Internet上另一台主机的双向通信。
设置方法:
当把主机设置成DMZ主机后,该计算机完全暴露于外网,防火墙对该主机不再起作用。外网用户访问路由器外网地址时,访问的就是192.168.0.10这台计算机。
注意:
1.添加DMZ主机可能会给该主机带来不安全因素,因此不要轻易使用这一选项。
2. DMZ主机的优先级低于虚拟服务器,因特网用户对路由器同一端口的访问将优先转发到虚拟服务器所对应的局域网服务器上。
局域网中服务器设置问题
路由器设置
连接到因特网
上网方式
上网方式:不同的运营商(如中国电信、中国网通)可能采用不同的接入方式,您必须选择一个正确的上网方式,如果您不清楚,可以向运营商咨询。
静态地址(手工配置地址): IP地址指WAN口的IP地址。这个地址是必须的,由运营商提供。
子网掩码设备的WAN口地址掩码。这个掩码是必须的,由运营商提供。
缺省网关设备的WAN口网关地址。这个地址是必须的,由运营商提供。
MTU WAN口最大传输单元。按照缺省值即可。
主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS- Domain Name Server)地址,您可以输入在这里,域名服务器可以把诸如www.huawei-3com.com这样的域名解析成为实际的IP地址。
辅DNS服务器如果您的运营商给您提供了第二个DNS地址,请在这里输入,如果没有,您可以留空此项。
动态地址(从DHCP服务器自动获取):
如果选择了这个方式,那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。
主DNS服务器见"静态地址"中相关配置。
辅DNS服务器见"静态地址"中相关配置。
MTU见"静态地址"中相关配置。
主机名在使用DHCP获取IP地址的时候,希望您能填写您的主机名,这是可选项,您可以留空此项。
MAC地址克隆:使用设备原来的MAC地址这是缺省的选项,设备将使用出厂时的MAC地址。
使用这台计算机的MAC地址这将把设备WAN口的MAC地址设置为您现在正在使用的这台计算机的MAC地址。
使用下面手工输入的MAC地址如果上面的两个都不适合您,那么您只有手工输入MAC地址了。
PPPoE(大部分的宽带网或xDSL)
PPPoE用户名输入PPPoE拨号时使用的用户名,这是必须的。在您开户的时候,由运营商提供。
PPPoE密码输入PPPoE拨号时使用的密码,这是必须的。在您开户的时候,由运营商提供。
MTU WAN口最大传输单元。按照缺省值即可。
空闲自动挂断时间建立连接后,如果您在一段时间内都没有访问因特网(没有数据流量),设备可以自动挂断以节省资费。如果您想一直保持连接,请把时间设置为0。
主DNS服务器见"静态地址"中相关配置。
辅DNS服务器见"静态地址"中相关配置。
主机名见"动态地址"中相关配置。
WAN口工作模式
--------------------------------------------------------------------------------
在这里您可以设置WAN口的连接速度和双工模式。如果您不清楚,请选择"10/100M自适应"。
防黑客攻击
--------------------------------------------------------------------------------
启用该功能可以防止您的设备受到黑客攻击。
病毒防护
--------------------------------------------------------------------------------
启用该功能可以防护病毒攻击。
LAN设置
--------------------------------------------------------------------------------
指定设备的LAN IP地址
为了局域网内计算机能够通过IP地址对设备进行访问和设置。我们必须为设备配置一个有效的静态IP地址和子网掩码。
IP地址设备的LAN口的地址,局域网的计算机可以通过该IP地址管理路由器。缺省为 192.168.1.1。
子网掩码设备的子网掩码为 255.255.255.0。
注意:该IP地址也称作网关地址。
作为DHCP服务器使用
本设备可以作为DHCP(Dynamic Host Control Protocol)服务器使用,DHCP服务器可以为局域网内的计算机分配IP地址、子网掩码、缺省网关、DNS服务器等参数。在局域网中如果存在其他配置不当的DHCP SERVER可能会导致网络故障,建议关闭其他DHCP SERVER;如果您不需要使用这个功能,请不要在本选项上打钩。
注意:DHCP服务器地址池的大小为32。
分配状态表
--------------------------------------------------------------------------------
分配状态表列出了在局域网内所有连接到本设备的计算机的信息,包括IP地址、机器名、MAC地址。随着连接的计算机的数量的增加,这张表的容量将增加到地址池定义的最大的地址数(32条)。注意,只有本设备内的DHCP服务器被设置为使能的时候,才会维护更新这张表。
<释放>按钮用于强制清除"已分配"的标志,使得这个IP地址有可以被重新分配。例如,如果一台计算机已经关闭了,您就可以使用这个按钮来清除它的纪录。
忘记密码
--------------------------------------------------------------------------------
如果您没有修改过WEB管理的登录密码,那么请使用"admin"登录,注意区分大小写。
如果您曾经修改过密码而又忘记了密码,按照下面的步骤可以把密码恢复为缺省的"admin",但是同时,在本设备上的所有设置的信息也将全部丢失,您必须重新设置所有的参数。
1.接上设备的电源。
2.长时间按住<Reset>按钮(至少5秒)。
3.松开按钮,等待设备重启完成。
4.这时候,设备已经恢复为缺省配置,网关IP为192.168.1.1,掩码为255.255.255.0,密码为"admin"。
设置信息
备份系统设置信息
单击<备份>按钮,可以把所有的设置信息打包成一个文件,备份到您的计算机上。您以后可以使用这个文件恢复本设备的设置信息。
注意:这个文件无法用文字处理软件或者表格编辑软件修改。
从文件中恢复设置信息
利用上面保存的文件恢复本设备的设置信息。单击<浏览>按钮,选择一个以前备份的文件,然后单击<恢复>把文件上传到设备内。
恢复到出厂设置
恢复到出厂设置将清除本设备的所有设置信息,恢复到刚生产出来的缺省状态。执行后本设备将重新启动。在你把本设备从一个网络环境换到另一个不同的网络环境的时候比较有用。一旦您执行了本命令,那么原来的设置信息就彻底丢失了,建议您在操作之前备份设置信息,以便发生意外的时候可以恢复。
缺省的用户名: admin
缺省的密码: admin
缺省的IP地址(网关地址,用来配置管理路由器的IP地址)为:
192.168.1.1
记录
--------------------------------------------------------------------------------
通过这个页面,您可以查看、分析系统日志,日志包含了设备运行期间发生的多种事件,其中大部分都是系统事件,例如系统重启、WAN口获取IP地址等,也包含关于安全方面的事件,如:
黑客袭击检测
从局域网的登录和管理设备
从广域网的远程登录和管理设备
非法报文丢弃
修改密码
--------------------------------------------------------------------------------
为了防止他人随意修改您的配置,您可以修改WEB管理的登录密码。 1.输入原来的密码
2.输入您的新密码
3.重复输入一遍新密码
4.单击<确定>按钮
注意:密码是区分大小写的,输入的时候请注意。
站点控制
--------------------------------------------------------------------------------
为了禁止局域网中计算机对一些网站的访问,通过对路由器的设置,您可以限制局域网中的计算机访问某些外部网站。(参考样例)
新增添加需要控制的网站;
导入导入需要控制的网站列表;
全部删除删除所有的网站列表;
删除删除所在行的网站;
提示:华为3Com公司为您订制了一部分的站点过滤列表,如果您感兴趣,可以从华为3Com的网站下载,直接导入到本设备上,以省却你逐条输入的麻烦。
样例:如果你想让局域网的计算机都不能访问下面的网站:
www.sina.com
1、你可以在路由器上启动"站点过滤"功能,"高级设置"->"网络安全"->"站点控制";
2、选择"按照配置的策略访问Internet站点";
3、开启网站过滤后,单击<增加>按钮,在弹出的对话框中选择"禁止",并输入www.sina.com,单击<确定>。
如果禁止多个网站时,可重复上述步骤;当然您也可以从华为3Com的网站下载站点过滤表。
注:网站控制功能只对Http协议生效。
访问控制
--------------------------------------------------------------------------------
为了方便您对局域网内计算机的进一步管理,通过访问控制,您可以根据时间段、数据包类型、局域网内计算机的IP地址等,对局域网内的计算机访问因特网作限制。(参考样例)
生效时间本条规则对生效的时间段进行控制。起始时间不能迟于终止时间。
局域网计算机的IP地址局域网中需要被控制的计算机的IP的地址范围。如192.168.1.2~2,则表示只对IP地址是192.168.1.2的计算机进行上网控制。
端口范围局域网中计算机访问因特网的服务端口。如 23~23(telnet端口)表示对局域网内计算机通过telnet访问因特网进行控制。
协议通过传输数据包所使用协议类型进行上网控制。
操作在这里可以选择规则的状态。
样例:如果要让局域网内IP地址为192.168.1.20~192.168.1.25的计算机,星期一到星期五,每天08:00~20:00禁止上网。配置如下:
1、起止时间选择:08:00~ 20:00
2、星期选择:在星期一到星期五下面打勾
3、IP地址填写:20~25
4、端口范围为:0~65535
5、协议选择:ALL
6、操作选择:禁止
样例:您不想让192.168.1.3的计算机使用Email往Internet发送文件,但是允许接收Email。因为发送Email的SMTP协议使用的是TCP 25号端口,接收Email的POP协议使用的是TCP 110号端口,所以您就可以通过禁止192.168.1.3的计算机访问TCP 25号端口来达到目的。配置如下:
1、起止时间选择:00:00~ 24:00
2、星期选择:在星期一到星期日下面打勾
3、IP地址填写:3~3
4、端口范围为:25~25
5、协议选择:TCP
6、操作选择:禁止
参考:常用协议端口
1. AUTH(port: 113)
2. FTP(port: 21)
3. ISAKMP(port: 500)
4. Email(POP3)(port: 110)
5. Email(SMTP)(port: 25)
6. Email(IMAP4)(port: 143)
7. PPTP(port: 1723)
8. TELNET(port: 23)
9. WEB(http)(port: 80)
10. WEB(https)(port: 443)
11. NetMeeting(port: 1720)
MAC控制
--------------------------------------------------------------------------------
因为局域网的同一台计算机有可能使用不同的IP的地址,针对不同的IP的地址,如果通过IP地址去控制就需要常常去更改过滤规则;而每台计算机的MAC地址是唯一不变的,所以通过MAC控制可以更有效的对局域网中的计算机进行上网控制管理。(参考样例)
启用如果不开启计算机MAC过滤功能,局域网内的所有计算机都可以不受限制地访问Internet。
仅允许在MAC列表中的计算机允许访问Internet,其他的都禁止访问因特网。
仅禁止在MAC列表中的计算机禁止访问Internet,其他的都允许访问因特网。
样例:禁止MAC地址为00-0f-83-16-35-4d的计算机上因特网。配置如下:
MAC地址过滤:启用前打勾
状态选择:仅禁止
MAC地址1:00-0F-83-16-35-4D
注意:MAC地址不区分大小写。
Ping测试
--------------------------------------------------------------------------------
用来检测网络连通与否的测试。
重启动
--------------------------------------------------------------------------------
单击<重启动...>按钮,设备将重新启动,重启动后设置信息不会丢失,但是在重启动期间,当前已经连接的计算机网络将会中断。
提示:在本设备完成启动后,您的计算机可能也需要重新启动一次,以便于获取最新的网络信息。
远程管理
--------------------------------------------------------------------------------
默认情况下,您只能在局域网中设置本路由器,只有开启远程管理后,您才可以在Internet中设置本路由器。
开启路由器远程管理功能,选择"允许通过WAN口远程管理本设备",这时您就可以在Internet中管理您的设备,您只要在浏览器地址栏中输入http://WAN IP:8000就可以访问您的设备(把WAN IP换成您设备实际的WAN口IP地址)。
特殊应用
--------------------------------------------------------------------------------
某些软件需要多个Internet连接,如IP电话、视频会议等,而通常情况下,防火墙会拦截这些连接。
为了使这些软件正常工作,防火墙必须知道什么样的情况需要打开多连接。通过定义特殊应用的条目,当防火墙发现一个"触发端口"被某台计算机打开后,它就允许来自Internet的连接通过相应的"外来端口"被建立。
新增新增一条特殊应用规则。
删除删除所在行的特殊应用规则。
应用名特殊应用的名称。
触发端口用于触发应用程序的端口范围,范围中的任一端口都将触发外来端口向应用程序开放。
外来端口当触发端口被应用后,防火墙将允许该端口上的外来数据通过。
使能只有选中此项后,该条特殊应用才会生效。
注意:1、当局域网内主机通过触发端口与外部网络建立连接开始,其相应的外来端口也将被打开,这时外部网络的计算机可以通过这些端口来访问局域网。
2、当局域网内主机的触发端口与外部网络的连接断开时,其相应的外来端口也将被关闭。
3、每条特殊应用只能同时被一台计算机所使用。
状态
--------------------------------------------------------------------------------
这包含了系统当前所有的运行状态的信息,在您请求技术支持的时候,请提供这一页的内容。
单击<刷新>按钮可以刷新本页的内容.
升级
--------------------------------------------------------------------------------
升级功能使得您可以保持华为3Com发布的最新版本的系统软件。您必须到华为3Com的网站下载本设备的系统软件,保存到您的计算机的某个文件夹下面。
单击<浏览>按钮选择那个文件,然后单击<确定>按钮,文件将被上载到设备上,上载完成后,本设备将重新启动。为了防止升级过程中出现意外,建议你在升级之前保存一下设置信息。
虚拟服务器
--------------------------------------------------------------------------------
DMZ(DeMilitarized Zone)非管制区
出于安全考虑,本设备会阻断从外部(Internet侧)发起的请求。然而,如果您需要在Internet上能够访问局域网内部的服务器,您就需要设置虚拟服务器。
DMZ主机实际上就是一个缺省的虚拟服务器,如果本设备收到一个来自外部网络的请求,它首先根据外部请求服务的端口号,查看虚拟服务器列表是否有匹配的,如果有,就把请求消息转发到相应的主机上。如果没有匹配的,就转发到DMZ主机上。当DMZ主机没有被设置时,则丢弃该请求报文。
注意:使能了DMZ之后,实际上就关闭了本设备对DMZ主机的防火墙保护。
虚拟服务器
由于路由器自身集成了防火墙,所以在默认配置下,不允许Internet上的计算机通过防火墙访问局域网内的计算机。为了能使Internet上的计算能访问到局域网内的服务器,我们必须在路由器上配置虚拟服务器。(参考样例)
新建单击<新建...>按钮,添加虚拟服务器。
删除删除所在行的虚拟服务器。
预置设置您可以从"预置设置"中选择一个适合您的虚拟服务器设置,这样,服务的名称和端口号就都自动填好了。
服务名称这项服务的名称。作为标记,您可以自定义。
外部端口 Internet上访问路由器WAN口的端口。
内部端口局域网内该服务器开放的服务端口。
内部服务器IP局域网内该服务器的IP地址。
注意:单击<关闭>按钮实际上放弃了所有的填写的项目。
修改虚拟服务器
1.点击条目中的链接
2.在弹出窗口中修改各个设置项
3.单击<确定>
样例:局域网内有一台FTP服务器(IP地址为192.168.1.5),连上Internet后,希望Internet上的所有人都能访问到这台服务器。
方法一:单击<新建>后,选择"预置设置"中的"FTP(port:21)"选项,在"内部服务器IP"行输入"5",再点<确定>即配置完成。
方法二:按如下设置,单击<确定>即配置完成。
1、预设设置:--select one--
2、服务名称:FTP
3、外部端口:20-21
4、内部端口:20-21
5、内部服务器IP:192.168.1.5
此时,Internet上的计算机只要输入ftp://WAN IP就能访问到该FTP服务器。
动态域名
--------------------------------------------------------------------------------
因为通过PPPoE或者动态获取IP地址上网时,获取到的IP地址不固定,这给想访问本局域网服务器的Internet用户带来不便。而动态域名服务器(DDNS)解决了这个问题,设置DDNS选项后,路由器会将域名自动和更新IP地址对应,在Internet上的用户可以通过域名来访问您的局域网。
开启选择是否开启DDNS功能。
用户名您在提供DDNS服务的网站注册的用户名。
密码您在提供DDNS服务的网站注册的密码。
注册的主机名您在提供DDNS服务的网站注册的主机名。
当前地址当前路由器的WAN口IP地址。
状态路由器是否与因特网相连。
在您使用Dynamic DNS(DDNS)功能之前,请您先到下面网站去申请注册一个动态DNS地址服务:
www.3322.org
www.dyndns.org
END,本文到此结束,如果可以帮助到大家,还望关注本站哦!