Angenommen, mein Setup sähe folgendermaßen aus:
- Router 1 stellt die Verbindung zum Internet her (also das Modem).
- Der WAN-Port von Router 2 verbindet sich mit einem LAN-Port von Router 1. (D. h. Router 2 ist ein „Router hinter Router“ mit eigenem Subnetz und DHCP.)
- WILD (ein Computer) stellt eine Verbindung zu einem LAN-Port von Router 1 her.
- GOOD, MILD und TAME (alle Computer) stellen eine Verbindung zu den LAN-Ports von Router 2 her.
- Router 1 leitet den gesamten eingehenden Datenverkehr per DMZ an Router 2 weiter.
- Der Port von Router 2 leitet nach Bedarf an GOOD, MILD und TAME weiter.
FRAGE
Wird Element 5 (d. h. DMZ) WILD daran hindern, „Antworten“ aus dem Internet zu empfangen?
Es tut mir leid, ich kenne das Fachwort für „Antworten“ nicht.
Mir fällt da zB ein:
WILD fordert eine Webseite von CNN.com an. Sendet die DMZ von Router 1 diese Webseite an Router 2 statt an WILD?
Ein FTP-Client in WILD initiiert eine FTP-Sitzung. Wenn der FTP-Server einen Datenkanal öffnet, sendet die DMZ ihn dann an Router 2 statt an WILD?
HINTERGRUND
Wie der Name schon sagt, würde ich WILD verwenden, um Websites zu besuchen und ausführbare Dateien auszuführen, die möglicherweise Malware enthalten. Ich platziere Router 2 als Barriere (Firewall) zwischen WILD und den anderen Computern.
Ich weiß nicht, ob es wichtig ist, aber WILD wird tatsächlich eine virtuelle Maschine sein. Vorausgesetzt, dass WILD in TAME gehostet wird, hätte TAME zwei NICs. NIC 1 (Verbindung zu Router 1) wäre in TAME deaktiviert und für WILD reserviert. NIC 2 (Verbindung zu Router 2) wäre in TAME aktiviert und würde von TAME selbst verwendet.
Weder Router 1 noch Router 2 verfügen über eine vLAN-Funktion.
Bei dieser ganzen Frage wird davon ausgegangen, dass mir kein besserer Weg einfällt, um GUTES usw. vor WILD zu schützen.
Die einzige andere Idee, die ich hatte, ist, alle Computer im selben LAN zu platzieren, aber eine Software-Firewall zu verwenden, um WILD zu isolieren. Dies scheint jedoch zu erfordern, dass jeder der anderen Computer (einschließlich anderer VMs) die erforderlichen Firewall-Einstellungen erhalten muss, was viel mehr Arbeit als mein vorgeschlagenes Setup bedeutet.
Antwort1
Wird Element 5 (d. h. DMZ) WILD daran hindern, „Antworten“ aus dem Internet zu empfangen?
NEIN.
Es klingt, als ob Sie die Funktionsweise einer DMZ missverstehen. Wenn Sie ein Gerät in der DMZ platzieren, leitet Router 1 den gesamten Datenverkehr nicht an diesen Knoten um. Stattdessen platzieren Sie den Knoten einfach in einer anderen Sicherheitszone, in der das normale Verhalten des Routers anders funktioniert.nur für dieses Gerät.
Beispielsweise wird der Datenverkehr von Geräten in der DMZ-Zone von der Firewall-Prüfung des Routers ausgeschlossen.
Andere Geräte hinter der LAN-Schnittstelle von Router 1 verhalten sich weiterhin normal. Wenn WILD eine Webseite anfordert, verfolgt der Router die ausgehende Verbindung, sodass er bei Erhalt der Antwort weiß, dass sie an WILD zurückgesendet werden muss.
Einige Router (normalerweise Verbrauchermodelle) verwenden die DMZ-Zone auch wie eine riesige "Weiterleitung aller Ports hierhin"-Einstellung. Wie bei allen Portweiterleitungen betrifft dies nurunaufgefordert, eingehendVerbindungen. Daher wird selbst bei Vorhandensein einer solchen DMZ eingehender Datenverkehr, der Teil einer Verbindung ist, die zuvor von einem anderen Host im LAN des Routers hergestellt wurde, an diesen Knoten gesendet und nicht an den in der DMZ befindlichen Host.
Für Ihre Zwecke scheint Ihr Setup sinnvoll zu sein. Ich habe ähnliche Zwei-Router-Setups gemacht, obwohl es schwierig sein kann, Ports über eine solche Konfiguration richtig weiterzuleiten, normalerweise aufgrund von Routern, die nicht gerne hinter einem anderen NAT-Gerät stehen. Wenn es für Sie funktioniert, umso besser!