Výběr routeru (specifická konfigurace)

[Microsheep]

Pokud budeš mít počítač v DMZ a k němu budou přistupovat počítače z LAN, tak už se samozřejmě routuje a kouká se na FW pravidla. Neprobíhá NAT (tedy nemusí, pokud není potřeba, samozřejmě lze nastavit i to). Ale určitě tam routing probíhá a MUSÍ se koukat na firewallové pravidla. To už žádný switch není.

DMZ dělá to, že počítač v dané síti je oddělený od zbytku sítě. Tudíž, když ti někdo napadne ten PC v DMZ a bude se chtít dostat do tvého LANu, tak samozřejmě musí projít firewallovými pravidly a ty by si ho měl přístušlně odfiltrovat a říct nene kamaráde, ty jsi webový server, tebe někdo hackne a půjdeš se mi vrtat v televizi, zařezávám tě na pravidle 3. bum nikam se nedostane. Z druhé situace ve směru LAN -> DMZ, opět musíš přes firewall a říct aha ty jsi ok, tímto směrem je to fajn.

ITcrowd zná totiž DMZ z domacích routerů, kde to funguje přesně tak, jak popisuje. Prostě veškerý provoz jde na jeden PC, který je ve stejném subnetu jako ostatní a nazdar bazar. Což není DMZ a je to úplně na dvě věci, že... Ty samozřejmě potřebuješ firewallové pravidla, aby si byl v bezpečí a měl sítě oddělené. Proto DMZ bude mít jiné adresy než tvoje LAN a proto bude potřeba routingu i fw pravidel.

Tady je například obrázek, ale vygoogluješ si jak to funguje

[Reklama]

[Uziv00]

To, co popisuješ je v rozporu s jeho zadáním. Viz. jeho první příspěvek.
Přímo tam píše, že chce PC s DMZ ve stejném subnetu.
Jinak máš samozřejmě pravdu.

[kennyz]

Ano, vim, že to je trochu DMZ-ne-DMZ, ale je jen potřebuju oddělit ten router od internetu, protože mám veřejnou, která by bez DMZ směřovala na login do routeru (na 80 portu) a to nechci. Jednoduše je to spíš filtrovací pravidlo, kde tomu řeknu, že chci tuhle komunikaci přeposílat na konkrétní lokální IP (vše ve stejném subnetu). A na tom cílovém stroji je už firewall. Zbyly PC, který budou připojený do routeru budou mít normálně přístup na net jak to funguje běžně. Sice jo, je to potenciální riziko díky stejnému subnetu, ale když se dobře zabezpečí ta stanice, kam se všechno směřuje, tak je to v pohodě

[Microsheep]

Jestli je jediný důvod té DMZ, aby si zakázal management firewallu z WANu(např. zmiňuješ 80), tak to je holý nesmysl.. Tohle řeší klasické FW pravidlo, které zakáže z WANu přístup na 80. Navíc se vystavuješ daleko většímu nebezpečí, protože pokud pustíš vše, musíš si dávat na stanici velký pozor, jak máš FW nakonfigurovaný a daleko snadněji se dostaneš k miss konfiguraci. A bude na tebe furt někdo útočit a pak se budeš divit, proč máš tak pomalý internet, když ti např. někdo bude budšit do DNS apod. Zvláště u Windows toho bude mraky, když ho pustíš do světa a nebudeš mít správně nakonfigurovaný FW.

[kennyz]

Tady nejde o 80 port, ale že na mikrotiku u antény, kam se nedostanu je nastavená veřejná IP a pokud někdo z venčí přistoupí na tuhle IP (řekněme 1.1.1.1), tak ho to přesměruje na můj router a já jediný proč řeším DMZ je, abych komunikaci na tuhle IP 1.1.1.1 přesměroval na 192.168.1.100 a je jedno jestli to bude port 80 nebo 60000 nebo jestli TCP/UDP, prostě všechno sem. Jinými slovy nechci to řešit firewallem na routeru, ale na tom konkrétním lokálním PC.

A jak tam mám nastavený firewall není teď podstatný. Třeba mi tam běží virtuální PC a směřuje se to na něj kde běží virtuální NAT, který přiděluje IP do intranetu, co ty víš - zkrátka teď neřeším stránku bezpečnosti, jen ten DMZ

[Microsheep]

Jasně, je to na tobě, jak si tu síť uděláš. Každý má svojí logiku a svoje důvodu proč to takhle udělat a proč ne. Klidně na tom můžeš mít další NAT a další. Proč ne, je to na tobě. Já jsem ti řekl, jak bych to udělal já. V tom případě, předpokládám, že máš vyřešeno, ostatní odpovědi na vše jsi dostal