Heimnetzwerk: DMZ oder nicht?

1206
knoten

Router: Asus RT AC-66U

Konfiguration:

Router, IP 10.0.0.1 Apache2 server, IP 10.0.0.2 Clients etc., IP 10.0.0.X  Virtual servers: All traffic on port 80 forwarded to 10.0.0.2, port 80.

Ziemlich einfaches Setup.

Der Router verfügt jedoch auch über eine virtuelle DMZ-Funktion. Was ich über DMZ wenig weiß, ist, dass es sich um Webserver und andere handelt, die über das Internet erreichbar sind und in der DMZ vom LAN isoliert sind, sodass der Zugriff auf das LAN schwieriger ist, als dies nicht der Fall wäre in einer DMZ. Ist das ziemlich richtig?

Was ich mich frage, ist: Ist die Isolation zwischen externen Verbindungen zum DMZ-Server und dem LAN der "einzige" Unterschied von nur Weiterleitung / virtuellen Servern, wie ich das jetzt mache? Und: Muss ich den Port 80-Datenverkehr noch an den apache2-Server weiterleiten, auch wenn er in der DMZ ist?

1

2 Antworten auf die Frage

3
djsmiley2k

Wenn Sie einen Server in der DMZ platzieren, ist dies im Grunde dasselbe wie das Aktivieren der Portweiterleitung, jedoch für alle Ports Ihres Routers. Es ist eine ziemlich einfache "Lösung" für das Problem, nicht zu wissen, welche Ports Sie weiterleiten müssen, oder nützlich, wenn Sie wissen, dass Sie die Firewall dieses Geräts unabhängig voneinander verwalten werden.

Es ist manchmal Teil des LANs (im Allgemeinen nicht, aber siehe Anmerkungen unten) und als solcher zugänglich. Sie möchten jedoch eine unabhängige Firewall auf diesem Gerät einrichten, da jetzt jeder Port zugänglich ist.

Einige Routing-Geräte können es so einstellen, dass das Gerät nicht über das LAN erreichbar ist, und bei manchen kann es möglich sein, eine separate öffentliche IP-Adresse zuzuweisen, auf die der gesamte Verkehr gezeigt wird (anstelle der IP-Adresse des Routers). Dies ist jedoch ein Gerät Spezifisch.

Auf einem Gerät, das nur eine IP-Adresse verwaltet, bedeutet das Einrichten einer DMZ manchmal, dass Sie nur einen 'Server' auf der LAN-Seite haben können, da die Portweiterleitung es Ihnen ermöglicht, Ports an verschiedene Server weiterzuleiten. Dies liegt auf der Hand Die öffentliche IP-Adresse zeigt auf ein internes Gerät.

+1 bis "das ist gerätespezifisch". Ich habe eine DMZ mit meinem TP-Link-Heimrouter eingerichtet, in der Hoffnung, dass diese vollständig vom restlichen LAN isoliert ist. Nicht so. https://www.tp-link.com/us/FAQ-28.html Laut TP-Link ist ihre DMZ "keine echte DMZ". Will Haley vor 6 Jahren 0
1
Darren

Ihr Verständnis für den Punkt einer DMZ ist richtig. Im Allgemeinen darf kein Datenverkehr von der DMZ zurück ins LAN erfolgen (es sei denn, Sie müssen bestimmte Ports öffnen, müssen jedoch vorsichtig sein), wenn einer der DMZ-Server gekapert wird.

Ist die Isolierung zwischen externen Verbindungen zum DMZ-Server und dem LAN der "einzige" Unterschied von nur Weiterleitung / virtuellen Servern, wie ich das jetzt mache?

Wenn ich richtig verstehe; ja, so ziemlich.

Muss ich den Port 80-Verkehr auch weiterhin an den apache2-Server weiterleiten, wenn er sich in der DMZ befindet?

Es hängt davon ab, ob. Normalerweise weisen Sie Routern für inländische Grade die IP-Adresse einer Maschine zu, die sich in der DMZ befindet, und dann werden alle eingehenden Ports zu dieser Box geroutet. Möglicherweise haben Sie die Option, nur bestimmte Ports zu aktivieren, dies hängt jedoch von der Marke / dem Modell Ihres Routers ab.

Verwandte Probleme