ホームネットワーク:DMZかどうか?
ルーター:Asus RT AC-66U
セットアップ:
Router, IP 10.0.0.1
Apache2 server, IP 10.0.0.2
Clients etc., IP 10.0.0.X
Virtual servers:
All traffic on port 80 forwarded to 10.0.0.2, port 80.
非常に簡単なセットアップ。
ただし、ルーターには仮想DMZ機能もあります。DMZについて私がほとんど知らないのは、インターネットからアクセスできるWebサーバーなど用であるということです。 DMZの誰がLANから隔離されているので、侵入すると、DMZにいない場合よりもLANにアクセスするのが難しくなります。これはかなり正しいですか?
私が疑問に思っているのは: DMZサーバーとLANへの外部接続の分離は、転送/仮想サーバーだけとの「唯一の」違いです。今やっていますか?そして: DMZにある場合でも、ポート80のトラフィックをApache2サーバーに転送/仮想サーバーする必要はありませんか?
サーバーをDMZに配置する場合、基本的にはポート転送を有効にするのと同じですが、ルーターですべてのポートの場合です。これは、転送する必要のあるポートがわからないという問題に対するかなり簡単な「修正」であるか、このデバイスのファイアウォールを個別に管理することがわかっている場合に役立ちます。
これはLANの一部である場合があり(通常はそうではありませんが、以下の注を参照)、アクセス可能ですが、すべてのポートにアクセスできるようになったため、このデバイスに独立したファイアウォールを設定する必要があります。
一部ルーティングデバイスは、LANからデバイスにアクセスできないように設定する場合があり、一部のデバイスでは、(ルーター自体のIPではなく)すべてのトラフィックを指す個別のパブリックIPを割り当てることができる場合があります。 )。ただし、これはデバイス固有です。
1つのIPのみを処理するデバイスでは、DMZを設定すると、LAN側に「1つの」サーバーしか持てないことがあります。ポート転送ではポートを別のサーバーに転送できます。サーバー、明らかな理由により、パブリックIPは1つの内部デバイスのみを指すようにすることができます。
DMZのポイントについてのあなたの理解は正しいです。一般に、トラフィックはDMZからLANに戻ることは許可されていません(要件がない限り) DMZサーバーの1つが乗っ取られた場合に備えて、特定のポートを開きますが、注意が必要です)。
DMZサーバーとLANへの外部接続の分離は、私が今行っているように、転送/仮想サーバーだけとの「唯一の」違いですか?
私が正しく理解していれば;ええ、ほとんど。
DMZ内にある場合でも、ポート80のトラフィックをApache2サーバーに転送/仮想サーバーする必要はありませんか?
場合によります。通常、国内グレードのルーターでは、マシンのIPアドレスをDMZに割り当てると、すべての着信ポートがそのボックスにルーティングされます。特定のポートのみを有効にするオプションがある場合がありますが、ルーターのメーカー/モデルによって異なります。