Назад | Перейти на главную страницу

Общедоступный IP-адрес или частный IP-адрес для зоны DMZ

Допустим, у меня есть три сети в моей топологии: внутренняя сеть, DMZ, Интернет. И моя зона DMZ содержит множество серверов, но, допустим, в этом примере она содержит только DNS-сервер и веб-сервер.

Итак, я должен использовать публичный IP адреса или частные адреса для серверов, находящихся в сети DMZ?

Если ответ - общедоступные IP-адреса: разве это не непрактично? (потому что я предполагаю, что в этом случае каждый сервер в DMZ должен иметь общедоступный IP-адрес)

Если ответ - частные IP-адреса: как это могло работать, зная, что DNS-сервер ответит частными адресами для лиц, запрашивающих IP-адрес веб-сервера.

Не знаю, понятен ли мой вопрос, если нет, расскажите мне в комментариях, и я постараюсь сделать его лучше.

Редактировать : Простите, если я говорю какую-то чушь, я впервые настраиваю DMZ, и я запутался.

Есть несколько вариантов:

Использование общедоступных IP-адресов

Все в вашей DMZ имеет публичный адрес. Все, к чему вы не хотите получать доступ из Интернета, делает не принадлежат вашей демилитаризованной зоне, а затем получит частный адрес

Использование частных IP-адресов

У всего в вашей демилитаризованной зоне есть частный адрес. Для каждой системы, которая должна быть доступна из Интернета, у вас есть общедоступный IP-адрес с соответствующим правилом NAT на вашем брандмауэре.

Используя этот вариант, вам будет сложно убедиться, что ваши внутренние системы имеют такое же подключение к вашей DMZ, что и внешние системы. Вам либо нужно будет заставить ваши внутренние системы разговаривать с общедоступными адресами (и NAT также для этих запросов), либо вам понадобится так называемая настройка разделения DNS, при которой ваша DNS-зона выглядит по-разному в зависимости от того, кто спрашивает (т.е. общедоступный IP-адрес возвращается для внешних запросов, частный IP-адрес возвращается для внутренних запросов).

Лично я предпочитаю первый метод и просто использую публичные адреса, поскольку это значительно упрощает управление.

Используйте частную адресацию не по техническим причинам, а потому, что это дешевле.

Не делайте сплит-DNS.

Вместо этого смело приводите свои сетевые устройства в действие, настраивая то, что люди называют шпилька NAT.

не уверен в возрасте этого потока, но есть несколько вещей, которые вы можете сделать, если маршрутизатор будет поддерживать:

  1. Измените виртуальные локальные сети (мой домашний / малый бизнес-маршрутизатор позволяет назначать порты и виртуальные локальные сети. Если настроить порты на отдельные виртуальные локальные сети, трафик может быть разделен.

  2. с моим маршрутизатором я смог перейти под контроль доступа >> правила доступа и установить правило

  3. ИСТОЧНИК:
  4. ВСЕ УСЛУГИ
  5. Интерфейс
  6. место назначения:
  7. дата (вс-пн-вт и др.)
  8. время 0.00-24.00

затем протестировал через Ping.

дополнительные конфигурации: включить отдельную DMZ с другим диапазоном IP-адресов, статическим IP-адресом для dmz (или назначить диапазон IP-адресов, чтобы получить 1 IP-выход) и т. д.

перед установкой правила доступа DMZ IP может пинговать все IP-адреса в персональной сети и 8.8.8.8 (google) после настроек: ping 8.8.8.8, хост dmz ip, частный IP-адрес локальной сети (IP-адрес только маршрутизатора), а НЕ мой nas, другие маршрутизаторы и т. д. .

Вы не хотите, чтобы внутренние системы подключались к DMZ. Это цель DMZ - размещать что-то в Интернете, но держать это отдельно от остальной сети на случай, если что-то будет скомпрометировано. Так что использование частных IP-адресов - это нормально. В большинстве случаев это лучше, потому что тогда вам не придется соединять интерфейсы на вашем брандмауэре.