私の設定が次のようになっているとします:
- ルータ 1 はインターネット (つまりモデム) に接続します。
- ルータ 2 の WAN ポートは、ルータ 1 の LAN ポートに接続します。(つまり、ルータ 2 は、独自のサブネットと DHCP を備えた「ルータの背後にあるルータ」です。)
- WILD(コンピュータ)はルータ1のLANポートに接続します。
- GOOD、MILD、TAME(すべてのコンピュータ)は、ルータ 2 の LAN ポートに接続します。
- ルータ 1 は、ルータ 2 へのすべての着信トラフィックを DMZ します。
- ルータ 2 は必要に応じて GOOD、MILD、TAME にポート転送します。
質問
要素 5 (つまり DMZ) は、WILD がインターネットから「回答」を受信するのを防ぎますか?
申し訳ありませんが、「回答」の専門用語はわかりません。
例えば、次のようなことが考えられます。
WILD は CNN.com から Web ページを要求します。ルータ 1 の DMZ は、その Web ページを WILD ではなくルータ 2 に送信しますか?
WILD 内の FTP クライアントが FTP セッションを開始します。FTP サーバーがデータ チャネルを開くと、DMZ はそれを WILD ではなくルーター 2 に送信しますか?
背景
名前が示すように、私は WILD を使用して Web サイトにアクセスし、マルウェアが含まれている可能性のある実行可能ファイルを実行します。ルーター 2 を WILD と他のコンピューターの間の障壁 (ファイアウォール) として配置しています。
重要かどうかはわかりませんが、WILD は実際には仮想マシンになります。WILD が TAME でホストされていると仮定すると、TAME には 2 つの NIC があります。NIC 1 (ルーター 1 に接続) は TAME で無効になり、WILD 専用になります。NIC 2 (ルーター 2 に接続) は TAME で有効になり、TAME 自体によって使用されます。
ルータ 1 とルータ 2 のどちらにも vLAN 機能はありません。
この質問全体は、GOOD などを WILD から保護するためのより良い方法が思いつかなかったことを前提としています。
私が思いついた唯一の他のアイデアは、すべてのコンピューターを同じ LAN に配置し、ソフトウェア ファイアウォールを使用して WILD を分離することです。ただし、これには、他の各コンピューター (他の VM を含む) に必要なファイアウォール設定を適用する必要があり、私が提案した設定よりもはるかに手間がかかります。
答え1
要素 5 (つまり DMZ) は、WILD がインターネットから「回答」を受信するのを防ぎますか?
いいえ。
DMZ の仕組みを誤解しているようです。デバイスを DMZ に配置しても、ルータ 1 がすべてのトラフィックをそのノードにリダイレクトするわけではありません。代わりに、ノードを別のセキュリティ ゾーンに配置するだけで、ルータの通常の動作が異なります。そのデバイスのみ。
たとえば、DMZ ゾーン内のデバイスのトラフィックは、ルーターのファイアウォール検査から除外されます。
ルータ 1 の LAN インターフェイスの背後にある他のデバイスは、引き続き正常に動作します。 WILD が Web ページを要求すると、ルータは送信接続を追跡し、応答を受信したときに WILD に返送する必要があることを認識します。
一部のルーター(通常は消費者向けモデル)は、DMZゾーンを巨大な「すべてのポートをここに転送」設定のように使用します。すべてのポート転送と同様に、これは次のポートにのみ影響します。迷惑メール、着信メールしたがって、このような DMZ が配置されている場合でも、ルーターの LAN 上の別のホストによって以前に確立された接続の一部である受信トラフィックは、DMZ ホストではなくそのノードに送信されます。
あなたの目的には、あなたの設定は妥当なようです。私も似たような 2 台のルーターの設定をしましたが、そのような構成でポートを適切に転送するのは難しい場合があります。これは通常、ルーターが別の NAT デバイスの背後にあることを好まないためです。それがあなたにとってうまくいくなら、なおさら良いことです。