1

Предположим, что мои настройки выглядят так:

  1. Маршрутизатор 1 подключается к Интернету (т.е. модему).
  2. Порт WAN маршрутизатора 2 подключается к порту локальной сети маршрутизатора 1. (Т.е. Маршрутизатор 2 - это «маршрутизатор за маршрутизатором» со своей собственной подсетью и DHCP.)
  3. WILD (компьютер) подключается к порту LAN маршрутизатора 1.
  4. GOOD, MILD и TAME (все компьютеры) подключаются к портам LAN маршрутизатора 2.
  5. Маршрутизатор 1 DMZs весь входящий трафик к маршрутизатору 2.
  6. Порт маршрутизатора 2 переходит к ХОРОШЕМУ, СЛАБОМУ и ТАЙМУ по мере необходимости

ВОПРОС

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Извините, я не знаю технического слова для ответов.'

Я имею в виду, например:

  • WILD запрашивает веб-страницу от CNN.com. Будет ли DMZ маршрутизатора 1 отправлять эту веб-страницу на маршрутизатор 2 вместо WILD?

  • FTP-клиент в WILD инициирует сеанс FTP. Когда FTP-сервер откроет канал данных, будет ли DMZ отправлять его на маршрутизатор 2 вместо WILD?

ФОН

Как следует из названия, я бы использовал WILD для посещения веб-сайтов и запуска исполняемых файлов, которые могут содержать вредоносные программы. Я помещаю маршрутизатор 2 в качестве барьера (брандмауэра) между WILD и другими компьютерами.

Я не знаю, имеет ли это значение, но на самом деле WILD будет виртуальной машиной. Предполагая, что WILD размещен в TAME, TAME будет иметь две сетевые карты. NIC 1 (подключение к маршрутизатору 1) будет отключен в TAME и выделен для WILD. NIC 2 (подключение к маршрутизатору 2) будет включен и используется самой TAME.

Ни маршрутизатор 1, ни маршрутизатор 2 не имеют функции vLAN.

Весь этот вопрос предполагает, что я не мог придумать лучшего способа защитить ХОРОШЕЕ и т.д. От ДИКОГО.

Единственная другая идея, которая у меня возникла, - это разместить все компьютеры в одной локальной сети, но использовать программный брандмауэр для изоляции WILD. Но, похоже, для этого требуется, чтобы каждый из других компьютеров (включая другие виртуальные машины) получал необходимые настройки брандмауэра, что намного больше работы, чем предложенная мной установка.

1 ответ1

3

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Нет.

Похоже, вы неправильно понимаете, как работает DMZ. Размещение устройства в DMZ не приводит к тому, что маршрутизатор 1 перенаправляет весь трафик на этот узел. Вместо этого вы просто помещаете узел в другую зону безопасности, где нормальное поведение маршрутизатора работает по-разному только для этого устройства.

Например, трафик для устройств в зоне DMZ исключен из проверки межсетевого экрана маршрутизатора.

Другие устройства за интерфейсом LAN маршрутизатора 1 будут продолжать работать нормально. Когда WILD запрашивает веб-страницу, маршрутизатор отслеживает исходящее соединение, чтобы при получении ответа он знал, что его необходимо отправить обратно в WILD.

Некоторые маршрутизаторы (обычно потребительские модели) также используют зону DMZ, как гигантский параметр "переадресация всех портов сюда". Как и при любой переадресации портов, это влияет только на незапрошенные входящие соединения. Поэтому даже при наличии такой DMZ входящий трафик, являющийся частью соединения, которое ранее было установлено другим узлом в локальной сети маршрутизатора, будет отправляться на этот узел, а не на узел DMZ.


Для ваших целей ваша установка кажется разумной. Я выполнил аналогичные настройки с двумя маршрутизаторами, хотя может быть сложно правильно перенаправить порты через такую конфигурацию, обычно из-за маршрутизаторов, которым не нравится находиться за другим устройством NAT. Если это работает для вас, то тем лучше!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .