DMZ instellen


referentie Z096D


Dit document geeft instructies hoe een DMZ op een ZyXEL router kan worden ingesteld.
Voor begrip van de voor- en nadelen van een DMZ volgt een uitleg achter de onderstaande link:
DMZ

Het instellen van een DMZ is alleen mogelijk op een van de volgende modellen: ZyXEL ZyWALL 5, 35, 70 en 100, en de
ZyXEL Prestige 652 H(W) voorzien van de nieuwste firmware.
Volg hiervoor de instructies onder
instellen van een DMZ op een ZyXEL router.

Indien deze instellingen niet mogelijk zijn is het nog steeds mogelijk om één enkele computer aan te wijzen om standaard vanaf het internet bereikbaar te zijn. Voor het instellen van zo'n Default router zie:
Servers van buitenaf bereikbaar maken.
Deze computer is niet fysiek gescheiden van de rest van het netwerk.
Ter beveiliging wordt aangeraden in zulke gevallen ook een IP-Alias in te stellen op de router, zodat het netwerkdeel met de publiekelijk toegankelijke server en het beveiligde deel van het netwerk op zijn minst logisch van elkaar zijn gescheiden.
Deze constructie wordt soms ook wel een "logische DMZ" genoemd, hoewel de naam DMZ eigenlijk is voorbehouden voor die situaties waar er een echte fysieke scheiding tussen beide netwerken bestaat.
Een beschrijving van de juiste instelling van een IP-alias kunt u vinden onder:
IP-alias instellen.

Instellen van een fysieke DMZ op een ZyXEL router

Toegang tot de router

Maak contact met de router met behulp van de webconfigurator.
De procedure hiertoe wordt omschreven in onderstaande link:
Toegang met de web configurator

Poortkeuze

Bij hetgebruik van een ZyWALL 70 , ZyWALL 100 of Prestige 652 met de nieuwste firmware hoeft de poort welke voor de DMZ wordt gebruikt niet te worden ingesteld:
Bij de ZyWALL 70 is dit een heel blok van 4 poorten, duidelijk weergegeven op de buitenkant van het apparaat.
Bij de ZyWALL 100 is de poort duidelijk aangegeven aan de achterzijde van het apparaat.
Bij de Prestige 652 met de nieuwste firmware is dit altijd LAN poort 1.
Bij beide routers kunt u de selectie van de poort daarom overslaan. Ga naar
DMZ Instellen in de router.

Bij de ZyWALL 5 en de ZyWALL 35 moet met de hand worden ingesteld welke poort voor de DMZ wordt gebruikt.
Ga daarom bij deze twee routers naar het menu DMZ en klik op het tabblad Port Roles:


(voorbeeld van een Zywall 35, de ZyWALL 5 wijkt iets af)

Selecteer de poorten welke u als DMZ wil laten werken door de juiste punten aan te klikken.
In het bovenstaande voorbeeld werkt alleen de meest rechterpoort als DMZ.

DMZ instellen in de router

Ga in het menu DMZ van de router naar het tabblad DMZ


(voorbeeld ZyWALL 35, andere routers kunnen iets afwijken).

Vul dit in als hierboven.
Een paar opmerkingen hierbij:
HetIP adress (met bijpassend subnet masker) wat hier wordt ingevuld moet een uniek bereik aangeven, het mag dus niet hetzelfde zijn als het IP adres van het normale netwerk. In dit geval is er van uitgegaan dat het normale netwerk een IP adres 192.168.1.x heeft. Door het IP adres en het subnet masker in het voorbeeld krijgt de DMZ een IP bereik van 192.168.2.x., met als IP adres van de router (en gateway voor de DMZ) van 192.168.2.1.

Windows Networking settings:
Het nut van deze settings is afhankelijk van wat u precies met de computers achter de DMZ gaat doen. Houdt er rekening mee dat indien u de eerste optie aan vinkt (Allow between DMZ en LAN) u een firewall regel aan zult moeten maken om de juiste poorten hiervoor open te zetten. Het LAN wordt immers nog steeds beschermd door de firewall in de router!.

Instellen van de computers in de DMZ

U kunt nu de computers welke in de DMZ moeten staan aansluiten op de router. Houdt hierbij rekening met de volgende beperkingen:

Alternatief: Telnet

Dit is een alternatief voor de configuratie met behulp van de Web configurator. Onder normale omstandigheden is gebruik van de Web Configurator aan te bevelen, aangezien niet alle benodigde instellingen op de onder beschreven manier kunnen worden uitgevoerd.

Gebruik Telnet of een Seriële toegang.
Onderstaand voorbeeld gaat uit van een toegang met Telnet op een Prestige 652H/HW-33 router, maar de menu's in de overige nieuwe modellen zijn vrijwel gelijk.


                     Password: 1234


Het wachtwoord van de router is 1234, tenzij u dit eerder heeft gewijzigd.

Tik het wachtwoord in, gevolgd door de - toets. U komt nu in het hoofdmenu van de ZyXEL.

          Copyright (c) 1994 - 2003 ZyXEL Communications Corp.

                  Prestige 652H/HW-33 Main Menu

     Getting Started                      Advanced Management
       1. General Setup                     21. Filter and Firewall Setup
       2. WAN Backup Setup                  22. SNMP Configuration
       3. LAN Setup                         23. System Security
       4. Internet Access Setup             24. System Maintenance
       5. DMZ Setup                         25. IP Routing Policy Setup
     Advanced Applications                  26. Schedule Setup
       11. Remote Node Setup                27. VPN/IPSec Setup
       12. Static Routing Setup
       14. Dial-in User Setup               99. Exit
       15. NAT Setup

                         Enter Menu Selection Number:


Ga naar 5 dan 2 . 

                        Menu 5.2 - TCP/IP Ethernet Setup

                    TCP/IP Setup:
                      IP Address= *192.168.2.1*
                      IP Subnet Mask= 255.255.255.0
                      RIP Direction= None
                        Version= N/A
                      Multicast= None


                    Press ENTER to Confirm or ESC to Cancel:

Hier kan u de ip range van de DMZ poort aanpassen.
Tik het IP nummer achter "Ip Address" en stel vervolgens de computer statisch in ip range van de DMZ poort.

Klik daarna op de - toets, en druk daarna net zo lang op Esc(ape),
tot u uiteindelijk terug komt in het hoofdmenu. U kunt daar met optie 99 Telnet verlaten

Relevante links:

Firmware vernieuwen en
Toegang tot de router onder MAC OS en
Toegang tot de router onder Windows DMZ
Gebruik van een seriële toegang
Gebruik van Telnet
Toegang met de Web configurator