Både DMZ og intern IP, er dette mulig?

[Prusk]

Jeg skulle har noen raske tips til hvordan jeg kan en PC til å både ha DMZ og intern IP. Alltid noe her inne som vet sånt.

[rufs]

To nettverkskort sikkert, med to forskjellige ip ranger.

[The Stig]

Usikker på om jeg forstår spørsmålet. Du skal altså sette en PC i DMZ, men samtidig ha en egen intern adresse for lan? I så tilfelle er ikke det noe problem, det er ruteren som tar seg av DMZ - du vil altså ikke åpne nettverket helt ved å sette en enkelt maskin i DMZ, resten av nettverket vil fortsatt være beskyttet, da det også ligger bak ruteren, men ikke i DMZ.

[Prusk]

To nettverkskort sikkert, med to forskjellige ip ranger.

Det er sikkert en mulighet, men jeg har ikke 2 LAN porter på HK, og tenkte at det kanskje finnes en løsning uten å legge inn et nytt LAN-kort. Det er godt mulig dette er det enkleste.

 

Usikker på om jeg forstår spørsmålet. Du skal altså sette en PC i DMZ, men samtidig ha en egen intern adresse for lan? I så tilfelle er ikke det noe problem, det er ruteren som tar seg av DMZ - du vil altså ikke åpne nettverket helt ved å sette en enkelt maskin i DMZ, resten av nettverket vil fortsatt være beskyttet, da det også ligger bak ruteren, men ikke i DMZ.

Jeg vil at PCen som ligger i DMZ også skal ha en lokal IP, slik at den finner resten av det lokale nettet. F.eks. at den kan koble seg opp til printer, andre PCer som ligger på LANet.

[Vakuum]

DMZ er bare at en router sender all trafikk videre til en bestemt ip.

 

Jeg har en linksys router med ekte ip (f.eks 80.80.80.80) som har dmz slått på imot 192.168.16.2 slik at all trafikk til min eksterne-ip går videre til den ip'n.

I tillegg har jeg også noen nat-regler på routern som gjør at f.eks port 80 kuttes av og sendes til 192.168.16.3 istedet.

 

Håper det hjalp litt.

 

Hvis du har en pc som router så kjenner jeg desverre ikke til hvordan dette kan gjøres.

Endret 2. juli 2008 av Vakuum

[Prusk]

Problemet er at maskinen i DMZ står utenfor det lokale nettverket slik den er nå. Jeg finner ikke noen lokal IP for maskinen i DMZ.

 

Har en router fra.. hmm. akkurat nå husker jeg ikke hvilken ruter det er..

[nomore]

DMZ betyr i prinsippet at brannmuren ikke er så kritisk til trafikken som går inn/ut av denne sonen, men veldig kritisk til hvilken trafikk som går i fra DMZ mot lokalt(beskyttet) nettverk.

 

Blir ofte brukt for å sette offentlig tilgjengelige servere i et eget nett for å forhindre uønsket trafikk i fra disse serverene og inn i lokalt nettverk.

 

Det trådstarter da er på jakt etter er litt mot hensikten til DMZ og her bør man heller bruke vanlig portvideresending/NATing.

 

Uansett skal det være mulig å få til. Men det er litt avhengig av hvilken router det er snakk om. Man må i routeren åpne for trafikk i fra DMZ mot lokalt nettverk både mtp routing og brannmur/trafikkfilter. Et siste alternativ er jo som nevnt to nettverkskort, men da mener eg det er en bedre løsning å bruke NAT/videresending.

[Prusk]

Problemet er at åpning av NAT porter ikke gjør jobben godt nok. Jeg får se om det er noe jeg har oversett senere i dag.

[nomore]

Når NATing ikke gjør jobben skikkelig så blir ofte DMZ brukt ja. Da blir det enten å konfigurere routeren/brannmuren for å tillate trafikken eller å bruke to nettverkskort.

[Prusk]

Dette blir litt OT.

 

Om jeg vil at 2 PCer skal ha tilgang på samme NAT-range, så er ikke det mulig med NAT. Vil det være mulig om jeg setter en i DMZ, og jeg åpner NAT for den andre?

[nomore]

Med mindre du snakker om avansert failover eller loadbalancing så kan man ikke åpne en og samme port inn til to maskiner nei. Uavhengig av NAT og/eller DMZ.