S*A
发帖数: 7142 | 1 我以前用过一些家庭用的 router 的 DMZ, 不是很喜欢。
主要是 DMZ 里的机器都可以访问家里的 lan 里的机器。
现在很多 router 带的 switch 都有很 fancy 的功能的。
就是可以虚拟子网,可以通过编程把不同的端口虚拟成
接在不同 switch 上面。你看一般 router 带 Wan 的口
一共 5 个端口,其实内部来说那五个端口都是一样的。
是通过编程设置成其中一个是 Wan, 其他四个加上 wireless
连到 switch 上面。把 wan 和 lan 放到不同的 switch
上面是编程设定的。
通过 openwrt 可以设置真正的 DMZ, 就是把其中一个网口
拿出来,单独给一个 switch, 然后单独给一个子网。可以设置
这个子网和家里的机器联通的规则如何。用来做对外开端口的
服务比较好。如果万一那部 DMZ 的机器沦陷了,也不能访问
到家里其他的机器。DMZ 除了做对外的服务的话,家里做
P2P 的机器也可以放到 DMZ 里面。万一 P2P 软件不太老实也
减少危害。而且用 openwrt 之类的 router DMZ 是 free 的。
除了费点配置的精力以外,不用白不用,
openwrt 功能很强,但是有些时候给你最底层的功能,要 setup
DMZ 有几步要走。手改 config 当然可以,这里讨论的是比较大
众化通过缺省安装里面 Web UI 做的。
0) system->backup config 以防万一配错了可以至少恢复原样。
1)setup network -> switch,
原来有两个 VLAN, #0 和 #1, 分别对应 Lan & Wan.
多开一个 VLAN #2, 从 Lan 里面拿出一个网口给它 VLAN#2。
VLAN#2 对应就是 eth0.2
2)setup network -> Interface.
加一个 Network Interface, 选择 VLAN#2,
firewall zone DMZ.
给 Interface 配不同于 LAN 的子网,IP address, network
mask 等等
3) 新的 DMZ 子网要开 DHCP.
Administrator -> Network -> DHCP
设置 DMZ 从什么 IP 段分配子网。
4) (optional) 给你 DMZ 的机器配 DHCP 的 static IP & hostname.
这样 port forwarding 不会担心 IP 地址换了。
5) network -> firewall -> Zone
增加 LAN -> DMZ
很明显这样比较方便。但是不要有 DMZ -> LAN, 不然 DMZ 就没意义了。
DMZ -> WAN
不一定需要,如果你不希望 DMZ 机器可以上 Internet call home
的话就不要开 WAN, 这样只有通过网关的指定的 port forwarding
服务端口能进来 DMZ,但是不能从 DMZ 出去。
如果是 DMZ 里面跑 P2P 的话那当然要开。
6) network -> firewall -> Traffic Control
把 DMZ 访问 网关的服务(ssh, web) 全部关掉,只留下 DNS (port 53).
这样防止 DMZ 沦陷后把网关也沦陷了。
7) network -> firewall -> port forward
这样就可以在你的网关开进来的端口 forward 到 DMZ。
基本上就是这样了。 |
|
