DMZ LAN内の別のコンピューターによって開始された場合でも、トラフィックをターゲットに転送しますか？

Question

私のセットアップが次のようになっていると仮定します。

ルーター1はインターネット（つまりモデム）に接続します。
ルーター2のWANポートはルーター1のLANポートに接続します（つまり、ルーター2は、独自のサブネットとDHCPを持つ「ルーターの背後にあるルーター」です）。
WILD（コンピューター）はルーター1のLANポートに接続します。
GOOD、MILD、およびTAME（すべてのコンピューター）は、ルーター2のLANポートに接続します。
ルータ1は、ルータ2へのすべての着信トラフィックをDMZします。
ルータ2ポートは、必要に応じてGOOD、MILD、およびTAMEに転送します。

[〜＃〜]質問[〜＃〜]

要素5（つまり、DMZ）は、WILDがインターネットから「回答」を受信するのを防ぎますか？

「答え」の専門用語がわからないのでごめんなさい。

私は念頭に置いています、例：

WILDはCNN.comにWebページを要求します。ルーター1のDMZは、そのWebページをWILDではなくルーター2に送信しますか？
WILDのFTPクライアントがFTPセッションを開始します。 FTPサーバーがデータチャネルを開くと、DMZはそれをWILDではなくルーター2に送信しますか？

[〜＃〜]背景[〜＃〜]

名前が示すように、私はWILDを使用してWebサイトにアクセスし、マルウェアを含む可能性のある実行可能ファイルを実行します。ルーター2をWILDと他のコンピューター間のバリア（防火壁）として配置しています。

重要かどうかはわかりませんが、WILDは実際には仮想マシンになります。 WILDがTAMEでホストされているとすると、TAMEには2つのNICがあります。 NIC 1（ルーター1に接続）はTAMEで無効になり、WILD専用になります。NIC 2（ルーター2に接続）は有効になり、使用されますTAME自体による。

ルータ1とルータ2のどちらにもvLAN機能はありません。

この質問全体は、GOODなどをWILDから保護するためのより良い方法を考えることができなかったことを前提としています。

私が持っていた他の唯一のアイデアは、すべてのコンピューターを同じLANに配置することですが、ソフトウェアファイアウォールを使用してWILDを分離します。ただし、これには、他の各コンピューター（他のVMを含む）が必要なファイアウォール設定を受信する必要があるようです。これは、提案されたセットアップよりもはるかに多くの作業です。

I say Reinstate Monica · Accepted Answer

要素5（つまり、DMZ）は、WILDがインターネットから「回答」を受信するのを防ぎますか？

番号。

DMZのしくみを誤解しているようです。デバイスをDMZに配置しても、ルーター1はすべてのトラフィックをそのノードにリダイレクトしません。代わりにルーターの通常の動作が異なるそのデバイスのみで動作する別のセキュリティゾーンにノードを配置するだけです。

たとえば、DMZゾーン内のデバイスのトラフィックは、ルーターのファイアウォール検査から除外されます。

ルータ1のLANインターフェイスの背後にある他のデバイスは、引き続き正常に動作します。 WILDがWebページを要求すると、ルーターはアウトバウンド接続を追跡し、応答を受信したときに、WILDに送り返す必要があることを認識します。

一部のルーター（通常はコンシューマーモデル）も、巨大な「ここにすべてのポートを転送する」設定のようにDMZゾーンを使用します。すべてのポート転送と同様に、これはにのみ影響します。）一方的なインバウンド接続。したがって、このようなDMZが設定されている場合でも、以前に別のホストによって確立された接続の一部であるインバウンドトラフィックルーターのLANは、DMZされたホストではなく、そのノードに送信されます。

あなたの目的のために、あなたのセットアップは合理的であるように思われます。私は同様の2ルーターのセットアップを行いましたが、通常、ルーターが別のNATデバイスの背後にあることを好まないため、このような構成でポートを適切に転送するのは難しい場合があります。それはあなたのために働きます、そしてそれならなおさらです！