DMZ направляет трафик к своей цели, даже если он инициирован другим компьютером в локальной сети?

411
Catomic

Предположим, что мои настройки выглядят так:

  1. Маршрутизатор 1 подключается к Интернету (т.е. модему).
  2. Порт WAN маршрутизатора 2 подключается к порту локальной сети маршрутизатора 1. (То есть маршрутизатор 2 является «маршрутизатором за маршрутизатором» со своей собственной подсетью и DHCP).
  3. WILD (компьютер) подключается к порту LAN маршрутизатора 1.
  4. GOOD, MILD и TAME (все компьютеры) подключаются к портам LAN маршрутизатора 2.
  5. Маршрутизатор 1 DMZs весь входящий трафик к маршрутизатору 2.
  6. Порт маршрутизатора 2 переходит к ХОРОШЕМУ, СЛАБОМУ и ТАЙМУ по мере необходимости

ВОПРОС

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Извините, я не знаю технического слова для «ответов».

Я имею в виду, например:

  • WILD запрашивает веб-страницу от CNN.com. Будет ли DMZ маршрутизатора 1 отправлять эту веб-страницу на маршрутизатор 2 вместо WILD?

  • FTP-клиент в WILD инициирует сеанс FTP. Когда FTP-сервер откроет канал данных, будет ли DMZ отправлять его на маршрутизатор 2 вместо WILD?

ФОН

Как следует из названия, я бы использовал WILD для посещения веб-сайтов и запуска исполняемых файлов, которые могут содержать вредоносные программы. Я помещаю маршрутизатор 2 в качестве барьера (брандмауэра) между WILD и другими компьютерами.

Я не знаю, имеет ли это значение, но на самом деле WILD будет виртуальной машиной. Предполагая, что WILD размещен в TAME, TAME будет иметь две сетевые карты. NIC 1 (подключение к маршрутизатору 1) будет отключен в TAME и выделен для WILD. NIC 2 (подключение к маршрутизатору 2) будет включен и используется самой TAME.

Ни маршрутизатор 1, ни маршрутизатор 2 не имеют функции vLAN.

Весь этот вопрос предполагает, что я не мог придумать лучшего способа защитить ХОРОШЕЕ и т. Д. От ДИКОГО.

Единственная другая идея, которая у меня возникла, - это разместить все компьютеры в одной локальной сети, но использовать программный брандмауэр для изоляции WILD. Но, похоже, для этого требуется, чтобы каждый из других компьютеров (включая другие виртуальные машины) получал необходимые настройки брандмауэра, что намного больше работы, чем предложенная мной установка.

1

1 ответ на вопрос

3
Twisty Impersonator

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Нет.

Похоже, вы неправильно понимаете, как работает DMZ. Размещение устройства в DMZ не приводит к тому, что маршрутизатор 1 перенаправляет весь трафик на этот узел. Вместо этого вы просто помещаете узел в другую зону безопасности, где нормальное поведение маршрутизатора работает по-разному только для этого устройства .

Например, трафик для устройств в зоне DMZ исключен из проверки межсетевого экрана маршрутизатора.

Другие устройства за интерфейсом LAN маршрутизатора 1 будут продолжать работать нормально. Когда WILD запрашивает веб-страницу, маршрутизатор отслеживает исходящее соединение, чтобы при получении ответа он знал, что его необходимо отправить обратно в WILD.

Некоторые маршрутизаторы (обычно потребительские модели) также используют зону DMZ, как гигантский параметр «переадресация всех портов сюда». Как и при любой переадресации портов, это влияет только на незапрошенные входящие соединения. Следовательно, даже при наличии такой DMZ входящий трафик, являющийся частью соединения, которое было ранее установлено другим хостом в локальной сети маршрутизатора, будет отправляться на этот узел, а не на хост DMZ.

Для ваших целей ваша установка кажется разумной. Я выполнил аналогичные настройки с двумя маршрутизаторами, хотя может быть сложно правильно перенаправить порты через такую ​​конфигурацию, обычно из-за маршрутизаторов, которым не нравится находиться за другим устройством NAT. Если это работает для вас, то тем лучше!

Спасибо. Но вы, похоже, описываете DMZ в «деловом» контексте (где, как мне сказали, хост DMZ отделен от остальной части локальной сети). Я говорю о функции «DMZ» в дешевых маршрутизаторах, которая является просто способом пересылки всего трафика на назначенную машину. Будет ли ваш ответ по-прежнему относиться к этому ощущению «DMZ»? Catomic 6 лет назад 0
@Catomic Да. Подумайте об этом: если размещение устройства в демилитаризованной зоне заставило маршрутизатор 1 отправлять на него * весь * трафик, никакое другое устройство на стороне маршрутизатора в локальной сети работать не могло. Это сделало бы бессмысленным использование роутера, поскольку вы можете подключить это устройство напрямую к Интернету! Twisty Impersonator 6 лет назад 0

Похожие вопросы