Unterschied zwischen dem Platzieren eines Servers hinter einer DMZ und direkt hinter einem WAN

612
unplugged

Mein ISP bietet einen Block von 5 IPs. Ich habe einen 8-Port-Switch, an den mein ISP angeschlossen ist, und einer der Ports geht an meinen Ubiquiti Edgerouter, um den Internetzugang für meine Heim-PCs bereitzustellen.

Ich habe vor kurzem einen Server gekauft und wollte ihn über das Internet zugänglich machen. Nach allem, was ich gelesen habe, scheint es, dass es hinter einer DMZ liegt, eine bessere Idee ist, als es direkt an den WAN-Switch anzuschließen und ihm eine öffentliche IP zuzuweisen. Aber warum?

Der Server, auf den verwiesen wird, wird eine Variante von Linux ausführen, höchstwahrscheinlich Debian oder CentOS. Ich verwende iptables, um eine eingeschränkte Firewall zu erstellen, die nur den Zugriff auf die Ports ermöglicht, die zur Ausführung meiner Dienste erforderlich sind. Ich habe clamav, rkhunter und tripwire so konfiguriert, dass sie Warnungen prüfen und senden. Es werden keine ungenutzten Dienste installiert oder zugänglich.

Wie hilft die DMZ in diesem Fall wirklich? Macht die DMZ nicht dasselbe wie iptables? Außer, dass der Server den Treffer beim Scannen von Ports übernimmt, wird der Router dies tun.

0
Wenn sich im LAN keine anderen Computer befinden (nur der Server), benötigen Sie keine DMZ (oder gar einen Router). Das [erste Paar / wenige Absätze im Wikipedia-Artikel zu DMZ] (https://en.wikipedia.org/wiki/DMZ_%28computing%29) erklärt den Zweck ziemlich klar. Ƭᴇcʜιᴇ007 vor 8 Jahren 0
Ich habe vor, den Server für sich zu behalten - kein LAN dafür. unplugged vor 8 Jahren 0
Dann brauchen Sie keine DMZ, da Sie kein internes LAN zum Schutz haben. :) Was hast du gelesen, dass du eine haben solltest? Ƭᴇcʜιᴇ007 vor 8 Jahren 0
Wenn Sie es an den WAN-Switch anschließen und hinter eine DMZ stellen, macht es im Grunde genau das gleiche. Der gesamte Datenverkehr wird den Server erreichen, und das ist offensichtlich eine schreckliche Idee. Daher ist keine der beiden Ideen eine gute Idee. Sie können ihn hinter einen Router stellen, diesem Router die öffentliche Adresse zuweisen und den Server nur an bestimmten Ports für das Internet zugänglich machen. Ramhound vor 8 Jahren 0
Würden nicht iptables das gleiche tun wie der Router - alle Ports schützen, außer den Ports, die durchgelassen werden müssen? Es scheint, als füge ich Hardware- und Fehlerpunkte hinzu, ohne etwas zu gewinnen - es sei denn, mir fehlt etwas. unplugged vor 8 Jahren 0

0 Antworten auf die Frage