Допустим, у меня есть три сети в моей топологии: внутренняя сеть, DMZ, Интернет. И моя зона DMZ содержит множество серверов, но, допустим, в этом примере она содержит только DNS-сервер и веб-сервер.
Итак, я должен использовать публичный IP адреса или частные адреса для серверов, находящихся в сети DMZ?
Если ответ - общедоступные IP-адреса: разве это не непрактично? (потому что я предполагаю, что в этом случае каждый сервер в DMZ должен иметь общедоступный IP-адрес)
Если ответ - частные IP-адреса: как это могло работать, зная, что DNS-сервер ответит частными адресами для лиц, запрашивающих IP-адрес веб-сервера.
Не знаю, понятен ли мой вопрос, если нет, расскажите мне в комментариях, и я постараюсь сделать его лучше.
Редактировать : Простите, если я говорю какую-то чушь, я впервые настраиваю DMZ, и я запутался.
Есть несколько вариантов:
Все в вашей DMZ имеет публичный адрес. Все, к чему вы не хотите получать доступ из Интернета, делает не принадлежат вашей демилитаризованной зоне, а затем получит частный адрес
У всего в вашей демилитаризованной зоне есть частный адрес. Для каждой системы, которая должна быть доступна из Интернета, у вас есть общедоступный IP-адрес с соответствующим правилом NAT на вашем брандмауэре.
Используя этот вариант, вам будет сложно убедиться, что ваши внутренние системы имеют такое же подключение к вашей DMZ, что и внешние системы. Вам либо нужно будет заставить ваши внутренние системы разговаривать с общедоступными адресами (и NAT также для этих запросов), либо вам понадобится так называемая настройка разделения DNS, при которой ваша DNS-зона выглядит по-разному в зависимости от того, кто спрашивает (т.е. общедоступный IP-адрес возвращается для внешних запросов, частный IP-адрес возвращается для внутренних запросов).
Лично я предпочитаю первый метод и просто использую публичные адреса, поскольку это значительно упрощает управление.
Используйте частную адресацию не по техническим причинам, а потому, что это дешевле.
Не делайте сплит-DNS.
Вместо этого смело приводите свои сетевые устройства в действие, настраивая то, что люди называют шпилька NAT.
не уверен в возрасте этого потока, но есть несколько вещей, которые вы можете сделать, если маршрутизатор будет поддерживать:
Измените виртуальные локальные сети (мой домашний / малый бизнес-маршрутизатор позволяет назначать порты и виртуальные локальные сети. Если настроить порты на отдельные виртуальные локальные сети, трафик может быть разделен.
с моим маршрутизатором я смог перейти под контроль доступа >> правила доступа и установить правило
затем протестировал через Ping.
дополнительные конфигурации: включить отдельную DMZ с другим диапазоном IP-адресов, статическим IP-адресом для dmz (или назначить диапазон IP-адресов, чтобы получить 1 IP-выход) и т. д.
перед установкой правила доступа DMZ IP может пинговать все IP-адреса в персональной сети и 8.8.8.8 (google) после настроек: ping 8.8.8.8, хост dmz ip, частный IP-адрес локальной сети (IP-адрес только маршрутизатора), а НЕ мой nas, другие маршрутизаторы и т. д. .
Вы не хотите, чтобы внутренние системы подключались к DMZ. Это цель DMZ - размещать что-то в Интернете, но держать это отдельно от остальной сети на случай, если что-то будет скомпрометировано. Так что использование частных IP-адресов - это нормально. В большинстве случаев это лучше, потому что тогда вам не придется соединять интерфейсы на вашем брандмауэре.