Предположим, что моя установка выглядит так:
- Маршрутизатор 1 подключается к Интернету (т.е. модем).
- Порт WAN маршрутизатора 2 подключается к порту LAN маршрутизатора 1. (Т.е. маршрутизатор 2 представляет собой «маршрутизатор за маршрутизатором» со своей собственной подсетью и DHCP.)
- WILD (компьютер) подключается к порту LAN маршрутизатора 1.
- GOOD, MILD и TAME (все компьютеры) подключаются к портам LAN маршрутизатора 2.
- Маршрутизатор 1 перенаправляет весь входящий трафик на маршрутизатор 2 через DMZ.
- Порт маршрутизатора 2 перенаправляется на GOOD, MILD и TAME по мере необходимости.
ВОПРОС
Будет ли элемент 5 (т.е. DMZ) препятствовать WILD получать «ответы» из Интернета?
Извините, я не знаю технического термина для «ответов».
Я имею в виду, например:
WILD запрашивает веб-страницу с CNN.com. Отправит ли DMZ маршрутизатора 1 эту веб-страницу маршрутизатору 2 вместо WILD?
FTP-клиент в WILD инициирует сеанс FTP. Когда FTP-сервер открывает канал данных, DMZ отправит его на маршрутизатор 2 вместо WILD?
ФОН
Как следует из названия, я бы использовал WILD для посещения веб-сайтов и запуска исполняемых файлов, которые могут содержать вредоносное ПО. Я размещаю Router 2 в качестве барьера (брандмауэра) между WILD и другими компьютерами.
Не знаю, имеет ли это значение, но WILD на самом деле будет виртуальной машиной. Если предположить, что WILD размещен в TAME, то у TAME будет две сетевые карты. Сетевая карта 1 (подключаемая к маршрутизатору 1) будет отключена в TAME и выделена для WILD. Сетевая карта 2 (подключаемая к маршрутизатору 2) будет включена и использована самим TAME.
Ни маршрутизатор 1, ни маршрутизатор 2 не имеют функции vLAN.
Весь этот вопрос предполагает, что я не могу придумать лучшего способа защитить ДОБРО и т. п. от ДИКОГО.
Единственная другая идея, которая у меня была, — это поместить все компьютеры в одну локальную сеть, но использовать программный брандмауэр для изоляции WILD. Но это, похоже, требует, чтобы каждый из других компьютеров (включая другие виртуальные машины) получил необходимые настройки брандмауэра, что намного больше работы, чем моя предлагаемая настройка.
решение1
Будет ли элемент 5 (т.е. DMZ) препятствовать WILD получать «ответы» из Интернета?
Нет.
Похоже, вы не понимаете, как работает DMZ. Размещение устройства в DMZ не приводит к тому, что Router 1 перенаправляет весь трафик на этот узел. Вместо этого вы просто помещаете узел в другую зону безопасности, где обычное поведение маршрутизатора работает по-другомутолько для этого устройства.
Например, трафик для устройств в зоне DMZ исключается из проверки межсетевым экраном маршрутизатора.
Другие устройства за интерфейсом LAN маршрутизатора 1 продолжат вести себя нормально. Когда WILD запрашивает веб-страницу, маршрутизатор отслеживает исходящее соединение, так что при получении ответа он знает, что его нужно отправить обратно в WILD.
Некоторые маршрутизаторы (обычно потребительские модели) также используют зону DMZ как гигантскую настройку «переслать все порты сюда». Как и все перенаправления портов, это влияет только нанезапрошенный, входящийсоединения. Таким образом, даже при наличии такой DMZ входящий трафик, являющийся частью соединения, которое было ранее установлено другим хостом в локальной сети маршрутизатора, будет отправлен на этот узел, а не на хост DMZ.
Для ваших целей ваша настройка кажется разумной. Я делал похожие настройки с двумя маршрутизаторами, хотя может быть сложно правильно перенаправить порты через такую конфигурацию, обычно из-за маршрутизаторов, которые не любят находиться за другим устройством NAT. Если это работает для вас, то тем лучше!