Leitet DMZ den Datenverkehr zu seinem Ziel, auch wenn er von einem anderen Computer im LAN initiiert wird?

508
Catomic

Angenommen, mein Setup sah so aus:

  1. Router 1 verbindet sich mit dem Internet (dh dem Modem).
  2. Der WAN-Port des Routers 2 wird mit einem LAN-Port des Routers 1 verbunden. (Router 2 ist also ein Router hinter dem Router mit eigenem Subnetz und DHCP.)
  3. WILD (ein Computer) stellt eine Verbindung zu einem LAN-Port von Router 1 her.
  4. GOOD, MILD und TAME (alle Computer) stellen eine Verbindung zu den LAN-Anschlüssen von Router 2 her.
  5. Router 1 DMZs den gesamten ankommenden Datenverkehr an Router 2.
  6. Router 2-Port leitet bei Bedarf an GOOD, MILD und TAME weiter.

FRAGE

Verhindert Element 5 (z. B. DMZ), dass WILD "Antworten" aus dem Internet erhält?

Es tut mir leid, dass ich das technische Wort für "Antworten" nicht kenne.

Ich habe vor, zB:

  • WILD fordert eine Webseite von CNN.com an. Wird die DMZ von Router 1 diese Webseite anstelle von WILD an Router 2 senden?

  • Ein FTP-Client in WILD initiiert eine FTP-Sitzung. Wenn der FTP-Server einen Datenkanal öffnet, sendet die DMZ sie statt zu WILD an Router 2?

HINTERGRUND

Wie der Name vermuten lässt, würde ich WILD verwenden, um Websites zu besuchen und ausführbare Dateien auszuführen, die möglicherweise Malware enthalten. Ich platziere Router 2 als Barriere (Firewall) zwischen WILD und den anderen Computern.

Ich weiß nicht, ob es wichtig ist, aber WILD wird tatsächlich eine virtuelle Maschine sein. Angenommen, WILD wird in TAME gehostet, hätte TAME zwei NICs. NIC 1 (Verbindung zu Router 1) wird in TAME deaktiviert und ist für WILD bestimmt. NIC 2 (Verbindung zu Router 2) würde in TAME selbst aktiviert und verwendet.

Weder Router 1 noch Router 2 verfügen über eine VLAN-Funktion.

Diese ganze Frage geht davon aus, dass ich mir keinen besseren Weg vorstellen könnte, GUT usw. vor WILD zu schützen.

Die einzige andere Idee, die ich hatte, ist, alle Computer in demselben LAN zu platzieren, aber WILD mit Software-Firewall zu isolieren. Dies scheint jedoch zu erfordern, dass jeder der anderen Computer (einschließlich anderer VMs) die erforderlichen Firewall-Einstellungen erhalten muss. Dies ist viel mehr Arbeit als mein vorgeschlagenes Setup.

1

1 Antwort auf die Frage

3
Twisty Impersonator

Verhindert Element 5 (z. B. DMZ), dass WILD "Antworten" aus dem Internet erhält?

Nein.

Es klingt, als würden Sie falsch verstehen, wie eine DMZ funktioniert. Das Platzieren eines Geräts in der DMZ führt nicht dazu, dass Router 1 den gesamten Verkehr zu diesem Knoten umleitet. Stattdessen setzen Sie den Knoten einfach in eine andere Sicherheitszone, in der das normale Verhalten des Routers nur für dieses Gerät anders funktioniert .

Beispielsweise wird der Datenverkehr für Geräte in der DMZ-Zone von der Firewall-Überprüfung des Routers ausgeschlossen.

Andere Geräte hinter der LAN-Schnittstelle von Router 1 verhalten sich weiterhin normal. Wenn WILD eine Webseite anfordert, verfolgt der Router die ausgehende Verbindung, so dass er beim Empfang der Antwort weiß, dass er an WILD gesendet werden muss.

Einige Router (normalerweise Consumer-Modelle) verwenden die DMZ-Zone auch wie eine riesige Einstellung "Alle Ports hier weiterleiten". Wie bei der Portweiterleitung betrifft dies nur unerwünschte eingehende Verbindungen. Daher wird auch bei einer solchen DMZ der eingehende Datenverkehr, der Teil einer Verbindung ist, die zuvor von einem anderen Host im LAN des Routers hergestellt wurde, an diesen Knoten gesendet, nicht an den DMZ-Host.

Für Ihre Zwecke scheint Ihr Setup sinnvoll. Ich habe ähnliche Zwei-Router-Setups durchgeführt, obwohl es schwierig sein kann, Ports durch eine solche Konfiguration ordnungsgemäß weiterzuleiten, normalerweise aufgrund von Routern, die nicht hinter einem anderen NAT-Gerät stehen. Wenn es für Sie funktioniert, umso besser!

Vielen Dank. Sie scheinen jedoch eine DMZ in einem 'geschäftlichen' Kontext zu beschreiben (wobei gesagt wird, dass der DMZ-Host vom restlichen LAN getrennt ist). Ich spreche von der 'DMZ'-Funktion in Billig-Routern, die einfach nur den gesamten Datenverkehr an die angegebene Maschine weiterleitet. Würde Ihre Antwort immer noch auf dieses Gefühl von 'DMZ' zutreffen? Catomic vor 6 Jahren 0
@Catomic Ja. Denken Sie darüber nach: Wenn Sie ein Gerät in die DMZ setzen, um den gesamten * Datenverkehr an den Router 1 zu senden, könnte kein anderes Gerät auf der LAN-Seite des Routers funktionieren. Das macht den Router sinnlos, da Sie das Gerät auch direkt mit dem Internet verbinden können! Twisty Impersonator vor 6 Jahren 0

Verwandte Probleme