Cuando pone su enrutador en modo DMZ (Zona desmilitarizada), comienza a reenviar paquetes enviados a números de puerto no registrados a un host específico detrás de él.
Un enrutador NAT solo permite que los paquetes viajen a su LAN si hay una asignación en su tabla NAT para el paquete solicitado.
Una tabla NAT se mantiene de dos maneras por defecto:
1) Los listados se agregan y eliminan a medida que los clientes inician y completan las solicitudes de datos.
2) UPnP agrega asignaciones de puertos estáticos a la tabla NAT.
- ¿Cómo los enrutadores y receptores de Wi-Fi combaten el exceso de ruido de Wi-Fi en lugares abarrotados, como áreas urbanas?
- Cómo aplicar HSRP (protocolo de enrutador Hot Standby) si tengo dos enrutadores de capa 3 modelo Cisco 3560 de 12 puertos ópticos y un conmutador de acceso Cisco 2960s
- ¿Cuál es el mejor enrutador para usuarios de espectro (Time Warner Cable)?
- ¿Cómo flash personalizado mi enrutador? Cuales son las mejores opciones
- ¿Tiene sentido degradar mi plan de datos ilimitados para ahorrar dinero ahora que tenemos un enrutador wifi en casa?
Un enrutador habilitado para NAT descarta todos los paquetes de números de puerto desconocidos (los números de puerto no están presentes en su tabla NAT).
Tradicionalmente, cuando solicita un recurso de Internet utilizando un enrutador habilitado para NAT, ocurre el siguiente proceso:
Tenga en cuenta que se genera un nuevo puerto aleatorio cada vez que se necesita enviar una solicitud a Internet. Para la navegación por Internet, este proceso está bien, ya que se puede abrir un puerto según sea necesario. Pero ahora, si observa aplicaciones como Skype y BitTorrent, que necesitan mantener una conectividad constante con Internet, necesita un puerto específico reservado para ellas. (Al igual que con Skype, no podrá recibir llamadas si no tiene una comunicación vinculada entre la aplicación y los servidores todo el tiempo.
Por lo tanto, algunas aplicaciones necesitan registrar un puerto específico durante bastante tiempo para que el canal de comunicación permanezca abierto en todo momento para transmitir datos. UPnP logra esto, y se utiliza para indicar a un dispositivo NAT que abra explícitamente un puerto para una aplicación seleccionada.
Las asignaciones de UPnP son temporales y volátiles, lo que significa que se pierden cuando se reinicia un enrutador.
Ahora, suponga que tiene un servidor web ejecutándose como su enrutador NAT. Esta vez, su enrutador recibirá solicitudes en el puerto 80, pero bloqueará los paquetes ya que no tiene registros de datos solicitados en el puerto 80 en su tabla NAT (en otras palabras, no sabe a dónde reenviar el paquete , ya que no sabe qué dispositivo solicitó datos en el puerto 80).
Entonces, para permitir que los dispositivos en Internet accedan al servidor web detrás de un enrutador habilitado para NAT, debe indicar explícitamente al enrutador que reenvíe todo el tráfico entrante desconocido a un dispositivo específico en la LAN .
Como en el ejemplo anterior, hemos configurado la dirección del servidor DMZ en 192.168.0.100. Cuando el enrutador recibe un paquete extraño, se reenvía automáticamente a este dispositivo. Esto incluye nuestro paquete HTTP.
Recuerde, configurar DMZ en su enrutador es una amenaza de seguridad significativa para su red. Todo tipo de paquetes desconocidos, incluidos ataques de piratería y cargas útiles, ahora se dirigen al dispositivo en su LAN. Si este dispositivo carece de un firewall adecuado, puede ser pirateado con relativa facilidad. Una vez que una PC infectada está en su LAN, solo se necesita un parpadeo para que otros dispositivos comiencen a infectarse también.
Si no necesita reenviar exactamente todos los puertos, use la asignación de puertos en su lugar para asignar puertos específicos (como el puerto 80) a un servidor web alojado localmente, mientras niega el acceso a todos los demás puertos no registrados.
NOTA: LOS CLIENTES NO SOLICITAN DATOS USANDO PUERTOS REGISTRADOS. DE ESA MANERA, EL PUERTO 80 NUNCA SE UTILIZA PARA SOLICITAR DATOS, POR LO QUE UN ENRUTADOR NUNCA VE UN MAPEO PARA EL PUERTO 80.