Rede doméstica: DMZ ou não?

Navegue suas respostas
1

Roteador: Asus RT AC-66U

Configuração: 

Router, IP 10.0.0.1
Apache2 server, IP 10.0.0.2
Clients etc., IP 10.0.0.X

Virtual servers:
All traffic on port 80 forwarded to 10.0.0.2, port 80.

Configuração bastante simples.

No entanto - o roteador também possui uma função DMZ virtual. O pouco que eu sei sobre a DMZ é que ela é para servidores web e outros que são acessíveis pela Internet, que na DMZ são isolados da LAN, então dificulta o acesso à LAN do que se eles não estivessem. em um DMZ. Isso é bastante correto?

O que eu estou querendo saber é: O isolamento entre conexões externas para o servidor DMZ e a LAN é a única diferença entre apenas encaminhamento / servidores virtuais, como eu estou fazendo agora? E: ainda não tenho que encaminhar / servidor virtual o tráfego da porta 80 para o servidor apache2, mesmo que esteja na DMZ?

    
por knoten 09.03.2017 / 12:48

2 respostas

3

Se você colocar um servidor na DMZ, basicamente é o mesmo que habilitar o encaminhamento de portas, mas para todas as portas do seu roteador. É uma "correção" bastante fácil para a questão de não saber quais portas você precisa encaminhar ou útil quando você sabe que vai gerenciar o firewall deste dispositivo de forma independente.

Às vezes é parte da lan (geralmente não, mas veja as anotações abaixo), e acessível como tal, no entanto, você gostaria de configurar um firewall independente neste dispositivo, pois agora todas as portas estão acessíveis.

Alguns dispositivos de roteamento podem configurá-lo para que o dispositivo não seja acessível a partir do lan e alguns podem permitir a atribuição de um IP público separado que teria todo o tráfego apontado (em vez do IP de o próprio roteador)., no entanto, isso é específico do dispositivo.

Em um dispositivo que manipula apenas um IP, a configuração de um DMZ significa que você pode ter apenas um servidor no lado lan, já que o encaminhamento de porta permite encaminhar portas para servidores diferentes, por motivos óbvios só pode ter o IP público apontando para um dispositivo interno.

    
por 09.03.2017 / 12:55
1

Sua compreensão do ponto de uma DMZ está correta. Geralmente, nenhum tráfego é permitido se originar da DMZ de volta à LAN (a menos que exista a necessidade de abrir portas específicas, mas deve-se ter cuidado) no caso de um dos servidores da DMZ ser sequestrado.

Is the isolation between external connections to the DMZ server and the LAN the "only" difference from just forwarding/virtual servers, as I'm doing now?

Se eu entendi corretamente; sim, praticamente.

Won't I still have to forward/virtual server the port 80 traffic to the apache2 server even if it's in the DMZ?

Depende. Normalmente, nos roteadores de nível doméstico, você atribui o endereço IP de uma máquina para estar na DMZ e, em seguida, todas as portas de entrada são roteadas para essa caixa. Você pode ter a opção de ativar apenas portas específicas, mas isso depende da marca / modelo do seu roteador.

    
por 09.03.2017 / 12:54

Tags

DHCP e infra-estrutura de rede Como rodar o LibreOffice em um WebBrowser?