Supongamos que mi configuración se ve así:
- El enrutador 1 se conecta a Internet (es decir, el módem).
- El puerto WAN del enrutador 2 se conecta a un puerto LAN del enrutador 1. (Es decir, el enrutador 2 es un "enrutador detrás del enrutador" con su propia subred y DHCP).
- WILD (una computadora) se conecta a un puerto LAN del enrutador 1.
- GOOD, MILD y TAME (todas las computadoras) se conectan a los puertos LAN del enrutador 2.
- El enrutador 1 crea una DMZ para todo el tráfico entrante al enrutador 2.
- El puerto del enrutador 2 reenvía a GOOD, MILD y TAME según sea necesario.
PREGUNTA
¿El elemento 5 (es decir, DMZ) impedirá que WILD reciba "respuestas" de Internet?
Lo siento, no conozco la palabra técnica para "respuestas".
Tengo en mente, por ejemplo:
WILD solicita una página web de CNN.com. ¿La DMZ del enrutador 1 enviará esa página web al enrutador 2 en lugar de WILD?
Un cliente FTP en WILD inicia una sesión FTP. Cuando el servidor FTP abre un canal de datos, ¿la DMZ lo enviará al enrutador 2 en lugar de a WILD?
FONDO
Como sugiere el nombre, usaría WILD para visitar sitios web y ejecutar ejecutables que podrían contener malware. Estoy colocando el enrutador 2 como barrera (firewall) entre WILD y las otras computadoras.
No sé si importa, pero WILD en realidad será una máquina virtual. Suponiendo que WILD esté alojado en TAME, TAME tendría dos NIC. La NIC 1 (que se conecta al enrutador 1) estaría deshabilitada en TAME y dedicada a WILD. La NIC 2 (que se conecta al enrutador 2) sería habilitada y utilizada por el propio TAME.
Ni el enrutador 1 ni el enrutador 2 tienen una función vLAN.
Toda esta pregunta supone que no se me ocurre ninguna forma mejor de proteger lo BUENO, etc., de lo SALVAJE.
La única otra idea que he tenido es colocar todas las computadoras en la misma LAN, pero usar un software de firewall para aislar WILD. Pero esto parece requerir que cada una de las otras computadoras (incluidas otras máquinas virtuales) reciba la configuración de firewall necesaria, mucho más trabajo que mi configuración propuesta.
Respuesta1
¿El elemento 5 (es decir, DMZ) impedirá que WILD reciba "respuestas" de Internet?
No.
Parece que no entiendes cómo funciona una DMZ. Colocar un dispositivo en la DMZ no hace que el enrutador 1 redirija todo el tráfico a ese nodo. En lugar de eso, simplemente estás colocando el nodo en una zona de seguridad diferente donde el comportamiento normal del enrutador funciona de manera diferente.solo para ese dispositivo.
Por ejemplo, el tráfico de dispositivos en la zona DMZ se excluye de la inspección del firewall del enrutador.
Otros dispositivos detrás de la interfaz LAN del enrutador 1 seguirán comportándose normalmente. Cuando WILD solicita una página web, el enrutador rastrea la conexión saliente para que, cuando se reciba la respuesta, sepa que debe enviarse de regreso a WILD.
Algunos enrutadores (normalmente modelos de consumo) también utilizan la zona DMZ como una configuración gigante de "reenviar todos los puertos aquí". Como ocurre con todos los reenvíos de puertos, esto sólo afectano solicitado, entranteconexiones. Por lo tanto, incluso con dicha DMZ implementada, el tráfico entrante que forma parte de una conexión previamente establecida por otro host en la LAN del enrutador se enviará a ese nodo, no al host de la DMZ.
Para sus propósitos, su configuración parece razonable. He realizado configuraciones similares de dos enrutadores, aunque puede ser un desafío reenviar los puertos correctamente a través de dicha configuración, generalmente debido a que a los enrutadores no les gusta estar detrás de otro dispositivo NAT. Si te funciona, ¡mucho mejor!