A DMZ direciona o tráfego para seu destino mesmo se iniciada por outro computador dentro da LAN?

Navegue suas respostas
1

Suponha que minha configuração seja assim:

  1. O roteador 1 se conecta à Internet (por exemplo, o modem).
  2. A porta WAN do roteador 2 se conecta a uma porta LAN do roteador 1. (ou seja, o roteador 2 é um 'roteador por trás do roteador' com sua própria sub-rede e DHCP).
  3. WILD (um computador) se conecta a uma porta LAN do roteador 1.
  4. GOOD, MILD e TAME (todos os computadores) se conectam às portas LAN do Roteador 2.
  5. O Roteador 1 DMZs recebe todo o tráfego de entrada para o Roteador 2.
  6. A porta do roteador 2 é encaminhada para BOM, LÍQUIDA e MUDANDA conforme necessário.

PERGUNTA

O elemento 5 (ou seja, DMZ) impedirá que o WILD receba 'respostas' da Internet?

Desculpe, não sei a palavra técnica para 'respostas'.

Tenho em mente, por exemplo:

  • WILD solicita uma página da Web da CNN.com. A DMZ do roteador 1 enviará a página da Web para o roteador 2 em vez de WILD?

  • Um cliente de FTP no WILD inicia uma sessão de FTP. Quando o servidor FTP abre um canal de dados, o DMZ o enviará ao Roteador 2 em vez de WILD?

ANTECEDENTES

Como o nome sugere, eu usaria o WILD para visitar sites e executar executáveis que podem conter malware. Estou colocando o Roteador 2 como uma barreira (firewall) entre o WILD e os outros computadores.

Não sei se é importante, mas o WILD será na verdade uma máquina virtual. Assumindo que WILD esteja hospedado em TAME, TAME teria duas NICs. A NIC 1 (conectando ao roteador 1) seria desativada em TAME e dedicada a WILD. A NIC 2 (conectando-se ao Roteador 2) seria ativada e usada pelo próprio TAME.

Nem o roteador 1 nem o roteador 2 tem um recurso de vLAN.

Toda essa questão pressupõe que eu não poderia pensar em nenhuma maneira melhor de proteger o BEM, etc., do WILD.

A única outra idéia que tive foi colocar todos os computadores na mesma LAN, mas use o firewall de software para isolar o WILD. Mas isso parece exigir que cada um dos outros computadores (incluindo outras VMs) precise receber as configurações de firewall necessárias, muito mais trabalho do que a configuração proposta.

    
por Catomic 10.10.2017 / 12:26

1 resposta

3

Will element 5 (i.e. DMZ) prevent WILD from receiving 'answers' from the Internet?

Não.

Parece que você entendeu mal como funciona uma DMZ. Colocar um dispositivo na DMZ não faz com que o Roteador 1 redirecione todo o tráfego para esse nó. Em vez disso, você está simplesmente colocando o nó em uma zona de segurança diferente, onde o comportamento normal do roteador funciona de maneira diferente somente para esse dispositivo .

Por exemplo, o tráfego de dispositivos na zona da DMZ é excluído da inspeção do firewall do roteador.

Outros dispositivos por trás da interface LAN do roteador 1 continuarão se comportando normalmente. Quando WILD solicita uma página da Web, o roteador rastreia a conexão de saída para que, quando a resposta for recebida, ela saiba que precisa ser enviada de volta para WILD.

Alguns roteadores (normalmente modelos de consumidor) também usam a zona DMZ como uma configuração gigante de "encaminhar todas as portas aqui". Como acontece com todo o encaminhamento de porta, isso afeta apenas conexões não solicitadas, de entrada . Portanto, mesmo com um DMZ como esse, o tráfego de entrada que faz parte de uma conexão que foi estabelecida anteriormente por outro host na LAN do roteador será enviado para esse nó, não para o host DMZ.

Para seus propósitos, sua configuração parece razoável. Eu fiz configurações semelhantes de dois roteadores, embora possa ser um desafio para obter portas adequadamente encaminhadas através de tal configuração, geralmente por causa de roteadores que não gostam de estar atrás de outro dispositivo NAT. Se funcionar para você, melhor ainda!

    
por 10.10.2017 / 14:45

Tags

Confusão de interpolação de variáveis Bash Crie um atalho de página do Internet Explorer com o VBS