Suponha que minha configuração fosse assim:
- O roteador 1 se conecta à Internet (ou seja, ao modem).
- A porta WAN do Roteador 2 se conecta a uma porta LAN do Roteador 1. (Ou seja, o Roteador 2 é um 'roteador atrás do roteador' com sua própria sub-rede e DHCP.)
- WILD (um computador) se conecta a uma porta LAN do Roteador 1.
- GOOD, MILD e TAME (todos os computadores) conectam-se às portas LAN do Roteador 2.
- O roteador 1 faz DMZ de todo o tráfego de entrada para o roteador 2.
- A porta do roteador 2 encaminha para GOOD, MILD e TAME conforme necessário.
PERGUNTA
O elemento 5 (ou seja, DMZ) impedirá que o WILD receba 'respostas' da Internet?
Lamento não conhecer a palavra técnica para 'respostas'.
Eu tenho em mente, por exemplo:
WILD solicita uma página da Web da CNN.com. O DMZ do roteador 1 enviará essa página da Web para o roteador 2 em vez do WILD?
Um cliente FTP no WILD inicia uma sessão FTP. Quando o servidor FTP abrir um canal de dados, o DMZ o enviará para o Roteador 2 em vez do WILD?
FUNDO
Como o nome sugere, eu usaria o WILD para visitar sites e executar executáveis que possam conter malware. Estou colocando o Roteador 2 como barreira (firewall) entre o WILD e os demais computadores.
Não sei se isso importa, mas o WILD será na verdade uma máquina virtual. Supondo que o WILD esteja hospedado no TAME, o TAME teria duas NICs. A NIC 1 (conectando ao Roteador 1) seria desabilitada no TAME e dedicada ao WILD. A NIC 2 (conectando ao Roteador 2) seria habilitada e usada pelo próprio TAME.
Nem o Roteador 1 nem o Roteador 2 possuem um recurso vLAN.
Toda esta questão pressupõe que eu não consegui pensar em nenhuma maneira melhor de proteger o BOM, etc., do SELVAGEM.
A única outra ideia que tive foi colocar todos os computadores na mesma LAN, mas usar firewall de software para isolar o WILD. Mas isso parece exigir que cada um dos outros computadores (incluindo outras VMs) receba as configurações de firewall necessárias, muito mais trabalhoso do que a configuração proposta.
Responder1
O elemento 5 (ou seja, DMZ) impedirá que o WILD receba 'respostas' da Internet?
Não.
Parece que você não entendeu como funciona uma DMZ. Colocar um dispositivo na DMZ não faz com que o Roteador 1 redirecione todo o tráfego para esse nó. Em vez disso, você está simplesmente colocando o nó em uma zona de segurança diferente, onde o comportamento normal do roteador funciona de maneira diferente.apenas para esse dispositivo.
Por exemplo, o tráfego para dispositivos na zona DMZ é excluído da inspeção do firewall do roteador.
Outros dispositivos atrás da interface LAN do Roteador 1 continuarão a se comportar normalmente. Quando o WILD solicita uma página da web, o roteador rastreia a conexão de saída para que, quando a resposta for recebida, ele saiba que precisa ser enviada de volta ao WILD.
Alguns roteadores (normalmente modelos de consumo) também usam a zona DMZ como uma configuração gigante de “encaminhar todas as portas aqui”. Tal como acontece com todo encaminhamento de porta, isso afeta apenasnão solicitado, de entradaconexões. Portanto, mesmo com essa DMZ instalada, o tráfego de entrada que faz parte de uma conexão que foi previamente estabelecida por outro host na LAN do roteador será enviado para esse nó, e não para o host DMZ.
Para seus propósitos, sua configuração parece razoável. Fiz configurações semelhantes de dois roteadores, embora possa ser um desafio encaminhar as portas corretamente por meio dessa configuração, geralmente por causa de roteadores que não gostam de estar atrás de outro dispositivo NAT. Se funcionar para você, melhor ainda!