Я вижу много дискуссий по этой теме, но я все еще в замешательстве, поэтому извиняюсь, если это «очевидно» (я не сетевой инженер).
В настоящее время у нас установлена двухзонная DMZ / LAN. Трафик из DMZ в LAN запрещен, но разрешен из LAN в DMZ.
Мне нужно разрешить доступ к определенным веб-приложениям в локальной сети из Интернета. Насколько я понимаю, лучший способ сделать это - использовать обратный прокси (в DMZ?).
Однако, если я не могу подключиться к внутренней сети из DMZ, как мне перенаправить трафик из DMZ в LAN? Я предполагаю, что мне нужно будет открыть порты 80/443 из DMZ в LAN. Похоже, что это нарушает всю директиву DMZ, запрещающую любому трафику проходить из DMZ в LAN.
Проще говоря, как это решить? Осознаёте ли вы риски и просто разрешаете только эти два порта из DMZ в LAN, или я должен ввести промежуточную зону для обратного прокси (что, на мой взгляд, привело бы к таким же рискам безопасности, нет?)?