假設我的設定如下所示:
- 路由器 1 連接到 Internet(即數據機)。
- 路由器 2 的 WAN 連接埠連接到路由器 1 的 LAN 連接埠。
- WILD(電腦)連接到路由器 1 的 LAN 連接埠。
- GOOD、MILD 和 TAME(所有電腦)連接到路由器 2 的 LAN 連接埠。
- 路由器 1 將所有傳入路由器 2 的流量設定為 DMZ。
- 路由器 2 連接埠根據需要轉送到 GOOD、MILD 和 TAME。
問題
元素 5(即 DMZ)會阻止 WILD 從網路接收「答案」嗎?
抱歉,我不知道「答案」的技術用語。
我想到的,例如:
WILD 向 CNN.com 要求網頁。路由器 1 的 DMZ 是否會將該網頁傳送到路由器 2,而不是 WILD?
WILD 中的 FTP 用戶端發起 FTP 會話。當FTP伺服器開啟資料通道時,DMZ會將其傳送到路由器2而不是WILD嗎?
背景
顧名思義,我會使用 WILD 來訪問網站並運行可能包含惡意軟體的可執行檔。我將路由器 2 作為 WILD 和其他電腦之間的屏障(防火牆)。
我不知道這是否重要,但 WILD 實際上將是一個虛擬機器。假設 WILD 託管在 TAME 中,TAME 將有兩個 NIC。 NIC 1(連接到路由器 1)將在 TAME 模式下停用,並專用於 WILD 模式。 NIC 2(連接到路由器 2)將在 TAME 本身中啟用並由其使用。
Router 1 和 Router 2 都沒有 vLAN 功能。
整個問題假設我想不出任何更好的方法來保護“GOOD”等免受“WILD”的影響。
我唯一的另一個想法是將所有電腦放在同一個 LAN 中,但使用軟體防火牆來隔離 WILD。但這似乎要求其他每台電腦(包括其他虛擬機器)必須接收必要的防火牆設置,這比我建議的設定要多得多。
答案1
元素 5(即 DMZ)會阻止 WILD 從網路接收「答案」嗎?
不。
聽起來您誤解了 DMZ 的工作原理。將裝置放置在 DMZ 中不會導致路由器 1 將所有流量重定向到該節點。相反,您只需將節點放在不同的安全區域中,其中路由器的正常行為會有所不同僅適用於該設備。
例如,DMZ 區域中的設備的流量被排除在路由器的防火牆檢查之外。
路由器 1 LAN 介面後面的其他設備將繼續正常運作。當 WILD 請求網頁時,路由器會追蹤出站連接,以便在收到回應時知道需要將其發送回 WILD。
一些路由器(通常是消費者型號)也使用 DMZ 區域,就像一個巨大的「轉送所有連接埠」設定。與所有連接埠轉送一樣,這只影響未經請求的、傳入的連接。因此,即使設定了這樣的 DMZ,作為先前由路由器 LAN 上的另一台主機建立的連接的一部分的入站流量也將被傳送到該節點,而不是 DMZ 的主機。
就您的目的而言,您的設定似乎是合理的。我已經完成了類似的兩個路由器設置,儘管通過這樣的配置正確轉發端口可能具有挑戰性,通常是因為路由器不喜歡位於另一個 NAT 設備後面。如果它對您有用,那就更好了!