DMZ направляет трафик к своей цели, даже если он инициирован другим компьютером в локальной сети?

1

Предположим, что мои настройки выглядят так:

  1. Маршрутизатор 1 подключается к Интернету (то есть модему).
  2. Порт WAN маршрутизатора 2 подключается к порту локальной сети маршрутизатора 1. (То есть маршрутизатор 2 является «маршрутизатором позади маршрутизатора» со своей собственной подсетью и DHCP.)
  3. WILD (компьютер) подключается к порту LAN маршрутизатора 1.
  4. GOOD, MILD и TAME (все компьютеры) подключаются к портам LAN маршрутизатора 2.
  5. Маршрутизатор 1 DMZs весь входящий трафик к маршрутизатору 2.
  6. Порт маршрутизатора 2 перенаправляется на GOOD, MILD и TAME по мере необходимости.

ВОПРОС

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Извините, я не знаю технического слова для «ответов».

Я имею в виду, например:

  • WILD запрашивает веб-страницу от CNN.com. Будет ли DMZ маршрутизатора 1 отправлять эту веб-страницу на маршрутизатор 2 вместо WILD?

  • FTP-клиент в WILD инициирует сеанс FTP. Когда FTP-сервер откроет канал данных, будет ли DMZ отправлять его на маршрутизатор 2 вместо WILD?

ФОН

Как следует из названия, я бы использовал WILD для посещения веб-сайтов и запуска исполняемых файлов, которые могут содержать вредоносные программы. Я помещаю маршрутизатор 2 в качестве барьера (брандмауэра) между WILD и другими компьютерами.

Я не знаю, имеет ли это значение, но на самом деле WILD будет виртуальной машиной. Предполагая, что WILD размещен в TAME, TAME будет иметь две сетевые карты. NIC 1 (подключение к маршрутизатору 1) будет отключен в TAME и выделен для WILD. NIC 2 (подключение к маршрутизатору 2) будет включен и используется самой TAME.

Ни маршрутизатор 1, ни маршрутизатор 2 не имеют функции vLAN.

Весь этот вопрос предполагает, что я не мог придумать лучшего способа защитить ХОРОШЕЕ и т. Д. От ДИКОГО.

Единственная другая идея, которая у меня возникла, - это разместить все компьютеры в одной локальной сети, но использовать программный брандмауэр для изоляции WILD. Но, похоже, для этого требуется, чтобы каждый из других компьютеров (включая другие виртуальные машины) получил необходимые настройки брандмауэра, что намного больше работы, чем предложенная мной установка.

Catomic
источник

Ответы:

3

Будет ли элемент 5 (т. Е. DMZ) мешать WILD получать «ответы» из Интернета?

Нет.

Похоже, вы неправильно понимаете, как работает DMZ. Размещение устройства в DMZ не приводит к тому, что маршрутизатор 1 перенаправляет весь трафик на этот узел. Вместо этого вы просто помещаете узел в другую зону безопасности, где нормальное поведение маршрутизатора работает иначе только для этого устройства ,

Например, трафик для устройств в зоне DMZ исключен из проверки межсетевого экрана маршрутизатора.

Другие устройства за интерфейсом LAN маршрутизатора 1 будут продолжать работать нормально. Когда WILD запрашивает веб-страницу, маршрутизатор отслеживает исходящее соединение, чтобы при получении ответа он знал, что его необходимо отправить обратно в WILD.

Некоторые маршрутизаторы (обычно потребительские модели) также используют зону DMZ, как гигантский параметр «переадресация всех портов сюда». Как и при любой переадресации портов, это влияет только на незапрошенный, входящий соединения. Поэтому даже при наличии такой DMZ входящий трафик, являющийся частью соединения, которое ранее было установлено другим узлом в локальной сети маршрутизатора, будет отправляться на этот узел, а не на узел DMZ.


Для ваших целей ваша установка кажется разумной. Я выполнил аналогичные настройки с двумя маршрутизаторами, хотя может быть сложно правильно перенаправить порты через такую ​​конфигурацию, обычно из-за маршрутизаторов, которым не нравится находиться за другим устройством NAT. Если это работает для вас, то тем лучше!

Twisty Impersonator
источник
Спасибо. Но вы, похоже, описываете DMZ в «деловом» контексте (где, как мне сказали, хост DMZ отделен от остальной части локальной сети). Я говорю о функции «DMZ» в дешевых маршрутизаторах, которая является просто способом пересылки всего трафика на назначенную машину. Будет ли ваш ответ по-прежнему относиться к этому ощущению «DMZ»?
Catomic
@Catomic Да. Подумайте об этом: если установка устройства в демилитаризованной зоне заставила маршрутизатор 1 отправить все трафик к нему, никакое другое устройство на стороне LAN маршрутизатора не могло работать. Это сделало бы бессмысленным использование маршрутизатора, поскольку вы можете подключить это устройство напрямую к Интернету!
Twisty Impersonator