Разница между размещением сервера за DMZ и непосредственно за WAN

558
unplugged

Мой провайдер предоставляет блок из 5 IP-адресов. У меня есть 8-портовый коммутатор, к которому подключен мой провайдер, и один из портов направляется на мой Ubiquiti Edgerouter, чтобы обеспечить доступ в Интернет к моим домашним ПК.

Я недавно купил сервер и хотел сделать его доступным через Интернет. Из того, что я прочитал, кажется, что лучше разместить его за демилитаризованной зоной, чем подключить его непосредственно к коммутатору глобальной сети и назначить ему общедоступный IP-адрес. Но почему?

Данный сервер будет работать под управлением Linux, скорее всего, Debian или CentOS. Я буду использовать iptables для создания ограниченного брандмауэра, предоставляя только доступ к портам, необходимым для запуска моих служб. У меня будут clamav, rkhunter и tripwire, настроенные для проверки и отправки оповещений. Неиспользуемые сервисы не будут установлены или доступны.

Как DMZ действительно помогает в этом случае? Разве DMZ не делает то же самое, что iptables? За исключением случаев, когда сервер принимает сканирование портов, маршрутизатор будет.

0
If there's no other computers on the LAN (just the server) then you don't need a DMZ (or even a router). The [first couple/few paragraphs on Wikipedia's DMZ article](https://en.wikipedia.org/wiki/DMZ_%28computing%29) explain the purpose pretty clearly. Ƭᴇcʜιᴇ007 8 лет назад 0
I plan on keeping the server on it's own - no LAN for it. unplugged 8 лет назад 0
Then you don't need a DMZ, as you have no internal LAN to protect. :) What is it that you read that suggested you should have one? Ƭᴇcʜιᴇ007 8 лет назад 0
Connecting it to the WAN switch, and putting it behind a DMZ, it basically doing the exact samething. Any and all traffic will reach the server, and that is obviously a horrible idea, so neither idea is a good idea. You can put it behind a router, give that router the public address, and make the server accessible to the internet on only certain ports. Ramhound 8 лет назад 0
Wouldn't iptables do the same as the router - protect all ports except the ones that need to be allowed through? It seems like I'm adding hardware and failure points without gaining anything - unless I'm missing something. unplugged 8 лет назад 0

0 ответов на вопрос

Похожие вопросы