1

Маршрутизатор: Asus RT AC-66U

Настроить:

Router, IP 10.0.0.1
Apache2 server, IP 10.0.0.2
Clients etc., IP 10.0.0.X

Virtual servers:
All traffic on port 80 forwarded to 10.0.0.2, port 80.

Довольно простая настройка.

Однако - маршрутизатор также имеет функцию виртуальной DMZ. Что мне мало известно о DMZ, так это то, что он предназначен для веб-серверов и других, доступных из Интернета, которые в DMZ изолированы от локальной сети, поэтому проникновение в них затрудняет получение доступа к локальной сети, чем если бы они этого не делали. в ДМЗ. Это довольно правильно?

Что мне интересно, так это то, является ли изоляция между внешними подключениями к серверу DMZ и локальной сетью "единственным" отличием от просто переадресации / виртуальных серверов, как я делаю сейчас? И еще: мне все равно придется перенаправлять / виртуальный сервер трафик порта 80 на сервер apache2, даже если он находится в DMZ?

2 ответа2

3

Если вы поместите сервер в DMZ, это в основном то же самое, что и включение переадресации портов, но для всех портов вашего маршрутизатора. Это довольно просто «исправить» проблему отсутствия информации о том, какие порты нужно перенаправлять, или полезно, если вы знаете, что собираетесь управлять брандмауэром этого устройства независимо.

Иногда это часть локальной сети (обычно нет, но см. Примечания ниже), и она доступна как таковая, однако вы хотите настроить независимый брандмауэр на этом устройстве, так как теперь каждый порт доступен.

Некоторые устройства маршрутизации могут настроить его так, чтобы устройство не было доступно из локальной сети, а некоторые могут позволить назначить отдельный общедоступный IP-адрес, на который был бы направлен весь трафик (вместо IP-адреса самого маршрутизатора). Однако это устройство конкретный.

На устройстве, которое обрабатывает только один IP, настройка DMZ иногда будет означать, что у вас может быть только «один» сервер на локальной сети, так как в то время как переадресация портов позволяет вам перенаправлять порты на разные серверы, по очевидным причинам вы можете иметь только общедоступный IP-адрес, указывающий на одно внутреннее устройство.

1

Ваше понимание сути DMZ верно. Как правило, трафик не может исходить из DMZ обратно в LAN (если нет необходимости открывать определенные порты, но следует соблюдать осторожность) в случае взлома одного из серверов DMZ.

Является ли изоляция между внешними подключениями к серверу DMZ и локальной сетью "единственным" отличием от просто переадресации / виртуальных серверов, как я делаю сейчас?

Если я правильно понимаю; да, довольно много

Неужели мне по-прежнему придется перенаправлять на виртуальный сервер трафик порта 80 на сервер apache2, даже если он находится в демилитаризованной зоне?

Это зависит. Обычно на внутренних маршрутизаторах класса вы назначаете IP-адрес компьютера, который будет находиться в демилитаризованной зоне, а затем все входящие порты будут маршрутизироваться в этот ящик. У вас может быть возможность включить только определенные порты, но это зависит от марки / модели вашего маршрутизатора.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .