Ha online játszol a konzoloddal, és eleged van abból, hogy üzeneteket kapsz a következőtől: Szigorú NAT, kapcsolódási problémák, vagy folyamatosan megszakadó hangcsevegés.Valaki valószínűleg már azt mondta neked: „Tedd a konzolt a demilitarizált zónába (DMZ), és minden megoldódik.” Az igazság az, hogy igen, sok fejfájást megoldhat, de biztonsági vonatkozásai is vannak, amelyeket érdemes megértened, mielőtt bármihez is hozzányúlnál a routereden.
Egy DMZ beállítása egy konzolhoz nem bonyolult. A lényeg a tudás. Pontosan mit csinál egy DMZ, és miben különbözik a portok megnyitásától vagy az UPnP használatától?, mikor van értelme használni, mikor a legjobb elkerülni, és hogyan befolyásolja a hálózatodat, ha például van egy switched, egy mesh rendszered vagy egy második routered otthon.
Mi az a DMZ, és hogyan segít a konzoloddal?
Egy otthoni routeren a DMZ (Demilitarizált Zóna) funkció alapvetően egy olyan opció, amely lehetővé teszi a az internetről bejövő összes forgalom, amelyre nincs külön szabály átirányít egyetlen eszközre a helyi hálózaton. Ez az eszköz lehet konzol, PC, szerver vagy akár egy másik router.
Amikor a konzolt a demilitarizált zónába helyezed, a router úgy viselkedik, mintha minden portja nyitva lenne számára. Nem kell játékonként porttovábbítási szabályokat konfigurálniés nem is függ az UPnP megfelelő működésétől. nappali videojáték-konzolok (PlayStation, Xbox, Nintendo Switch), amelyek viszonylag zárt rendszerrel rendelkeznek, ez a kitettség általánosságban meglehetősen kezelhető.
Ez a viselkedés nagyon hasznos, mivel sok online játék dinamikus vagy rosszul dokumentált portkombinációkat használ, és egyes szolgáltatások, mint például a P2P hangcsevegés vagy a játéktárhely, megkövetelik ezt. Más játékosok NAT-korlátozások nélkül kezdeményezhetnek kapcsolatokat a konzolodhoz.Itt tud a demilitarizált zóna változást hozni.
Azonban fontos tisztázni, hogy Egy otthoni routeren lévő DMZ nem ugyanaz, mint egy üzleti DMZ.Professzionális környezetben az emberek alhálózatokról és többszörös tűzfalakról beszélnek. Egy otthoni routeren a menüben található „DMZ” általában csak egy gyűjtőfogalom az összes bejövő forgalomra, amelyre nincsenek más szabályok.
DMZ és NAT: miért panaszkodik a konzol?
Otthonában minden eszköz egyetlen nyilvános IP-címet használ. A router konvertálja az adatokat e nyilvános IP-cím és a többi között. Privát IP-címek az eszközeidhez a NAT (hálózati címfordítás) segítségévelAmikor a konzolod kapcsolatot kezdeményez egy játékszerverrel, minden zökkenőmentesen fut, mivel az útválasztó megjegyzi, hogy ki nyitotta meg az egyes kapcsolatokat, és tudja, hogyan kell visszaadni a válaszokat.
A probléma akkor merül fel, amikor egy külső lejátszó közvetlenül a konzolodhoz próbál csatlakozni, például amikor játékot futtatsz, P2P hangcsevegést indítasz, vagy egy játékhoz meghatározott bejövő forgalom szükséges. Ebben az esetben, ha a routeren nincsenek érvényben szabályok, Nem tudja, hogy melyik eszközre továbbítsa az adott porton érkező kapcsolatot. és elveti. A konzol érzékeli ezt a helyzetet, és a NAT-ot a márkától függően szigorúként vagy 3-as, C, D, F típusúként jelöli meg.
Általánosságban elmondható, hogy a videojáték-konzolok a következőképpen osztályozzák a helyzeteket, hogy segítsék a felhasználót az eligazodásban:
- Nyílt NAT (PlayStation Type 1/2, Nyílt Xbox, Switch A/B)A szükséges portok elérhetők az internetről, csatlakozhatsz bármelyik játékhoz, szobákat hozhatsz létre és bárkivel hangcsevegést használhatsz.
- Mérsékelt NAT. Játszhatsz, de Korlátozások vonatkoznak majd a szintén korlátozott felhasználókkal való kapcsolattartásra.A játékok futtatása vagy a chat folyamatos használata igazi megpróbáltatássá válhat.
- Szigorúan NAT. Csak olyan játékosokkal tudsz jól együttműködni, akiknek nyitott NAT-juk van; gyakran te leszel az első, aki kiesik a teremből, ha a játék zsúfolttá válik, vagy bármilyen probléma adódik.
A demilitarizált zóna az egyik leggyorsabb módja a mérsékelt/szigorú NAT-ról a ...-ra való áttérésnek. NAT megnyitása portok manuális, egyenkénti megnyitása nélkülNem javul. se ping, se sebességde számos csatlakozási blokkot és hibát kiküszöböl.
A DMZ használatának előnyei konzolokhoz
Játékok terén a demilitarizált zóna (DMZ) nagy erénye, hogy Ez jelentősen leegyszerűsíti a hálózat beállítását.Ha a router DMZ-jét a konzolodhoz (és csak a konzolhoz) dedikálod, számos egyértelmű előnyre tehetsz szert.
Egyrészt a konzolnak most már van minden port elérhető a bejövő forgalomhoz (kivéve azokat, amelyeket már más eszközökre továbbítottak). Ez kiküszöböli az UPnP megfelelő működésétől, a manuális szabályoktól vagy attól való függőséget, hogy az egyes többjátékos játékok mely portokat használják.
Ezenkívül sok felhasználó arról számolt be, hogy bizonyos játékokban lag, hibák jelentkeztek a mérkőzésekhez való csatlakozáskor, vagy gyakori kapcsolatmegszakadások jelentkeztek. Amint a konzolt a demilitarizált zónába helyezik, simán működni kezdenek.Különösen kis térképeken, versenyeken vagy olyan módokban, ahol sok a közvetlen interakció a játékosok között, a változás nagyon észrevehető lehet.
Gyakorlati biztonsági szempontból a modern konzolok, mint például a PlayStation, az Xbox vagy a Switch Zárt, meglehetősen korlátozott operációs rendszerekkel rendelkeznek, belső tűzfallalEz nagymértékben csökkenti annak valószínűségét, hogy a demilitarizált zónában feltárt sebezhetőség komoly problémát jelentsen az otthoni hálózat számára, ellentétben azzal, ami egy általános célú PC-vel történne.
Egy másik érdekes előny, hogy a demilitarizált zóna leegyszerűsít néhány bonyolultabb forgatókönyvet. Például, amikor csak akarod. Csatlakoztassa a saját semleges routerét a szolgáltató routerének mögé És nincs bridge módod. Ebben az esetben a fő router DMZ-jének megnyitása és a második routerre irányítása csökkenti a tényleges dupla NAT-ot, és megkímél attól, hogy két különböző eszközön láncba kelljen kötni a portszabályokat.
A demilitarizált zóna megnyitásának hátrányai és kockázatai
A fő probléma a biztonság. A DMZ aktiválásával… eszköz közvetlen internetkapcsolatba hozásaA router által általában alkalmazott portszűrő nélkül az eszköz bármely nyitott portja kívülről elérhető lesz, ami automatikus vizsgálatokat és támadásokat vonz.
Ha egy konzolt helyezel el a demilitarizált zónában (DMZ), a kockázat meglehetősen kontrollált, de ha úgy döntesz, hogy egy PC-t, egy szervert vagy egy rosszul konfigurált szolgáltatásokkal rendelkező számítógépet helyezel oda, a támadási felület lőEgy számítógépen könnyű elavult szoftvereket, felesleges szolgáltatásokat vagy gyenge konfigurációkat találni, amelyek nem bírják el ezt a terhelési szintet.
Egy másik érzékeny pont az, hogy A DMZ-nek mindig statikus IP-címre kell mutatniaHa a konzolt vagy eszközt automatikus DHCP-re állítod be, és az IP-cím megváltozik, a router továbbra is az összes bejövő forgalmat a régi címre küldi, amelyet most egy másik csatlakoztatott eszköz használhat. Ez komoly biztonsági réseket okozhat anélkül, hogy észrevennéd.
Azt is érdemes megjegyezni, hogy a belföldi demilitarizált zóna általában lehetővé teszi egyszerre csak egy eszközHa aktiválod a DMZ-t a konzolodon, a többi eszköz már nem fogja tudni használni ezt a parancsikont.
Végül, bár maga a demilitarizált zóna általában nem fogyaszt extra erőforrásokat, ha a kitett eszköz kap A nagy forgalom sávszélességet emészthet fel elérhető, ami a hálózaton lévő többi eszközt is érinti. Ez nem gyakori, de előfordulhat brute-force támadások, intenzív szkennelések vagy nagy P2P forgalom esetén.
Mikor NEM jó ötlet DMZ-t használni?
Több olyan helyzet is van, amikor kétszer is meg kell gondolni, mielőtt aktiválnánk ezt az útválasztó funkciót, mert a mérleg egyértelműen a kockázati oldal felé billen.
A legegyértelműbb eset az, hogy a sebezhető vagy elavult eszközökHa egy régi PC-t, egy nem frissített szoftverrel rendelkező szervert vagy egy olyan berendezést teszel közzé, amelyet nem tartasz naprakészen, akkor a demilitarizált zónával (DMZ) reflektorfénybe helyezed őket, és bejelented az interneten, hogy tesztelésre elérhetőek.
Egy másik gyakori probléma az hálózati szegmentáció hiányaSok otthonban minden ugyanazon az alhálózaton található: a munkahelyi számítógépek, a biztonsági mentésekkel rendelkező NAS-ok, az IP-kamerák, a mobiltelefonok stb. Ha egy demilitarizált zónában lévő feltört eszköznek van módja „látni” a LAN többi részét, akkor sokkal érzékenyebb adatokhoz vezető átjáróvá válhat.
Nagyon óvatosnak kell lenni azzal is, a DMZ helytelen konfigurációjaAz IP-cím megadásakor fellépő hiba, a statikus DHCP rossz hozzárendelése, vagy az éppen elérhető interfész félreértelmezése azt okozhatja, hogy több dolgot nyitsz meg, mint gondolnád, vagy a DMZ a rossz eszközre mutat.
Végül, amikor távolról kell hozzáférnie a hálózatán lévő erőforrásokhoz (például egy NAS-hoz vagy egy otthonán kívüli számítógéphez), a DMZ nem a legjobb megoldás. Ezekben az esetekben egy megfelelően konfigurált VPN Sokkal nagyobb biztonságot nyújt.
DMZ online játékokhoz konzolról és PC-ről
A videojátékok világában a demilitarizált zónát (DMZ) szinte mindig egy nagyon konkrét céllal használják: Kerüld a szigorú NAT-ot, a mérkőzések szervezésével kapcsolatos problémákat és a hangcsevegés megszakításait.Konzolok esetében ez egy nagyon gyakori megoldás; PC-n viszont egészen más a helyzet.
Ha azt szeretnéd, hogy a PlayStation, Xbox vagy Nintendo Switch konzolod zökkenőmentesen csatlakozzon, szobákat hozzon létre, hallgasson és beszéljen az összes játékossal, és csökkentse a párosítási hibákat, akkor a demilitarizált zónába (DMZ) helyezése általában a legjobb megoldás. kényelmesebb, mint manuálisan megnyitni a portokat minden szolgáltatáshozKülönösen hasznos, ha nem tudod, hogy az egyes játékok melyik portokat használják, vagy ha a routered UPnP-je csak részben működik.
Sok szakértő azonban határozottan azt tanácsolja, hogy ne nyissa meg a demilitarizált zónát asztali számítógép vagy laptop számára. Hacsak nincs egy jól konfigurált rendszer tűzfalat, és pontosan tudja, hogy mit tesz kiEgy PC sokkal sokoldalúbb, mint egy konzol, ezért több szoftverrel, több háttérszolgáltatással rendelkezik, és általánosságban nagyobb az esélye a meghibásodásnak.
Ha úgy dönt, hogy DMZ-t használ a konzolhoz, akkor elsődlegesen annak kell biztosítania, hogy egyetlen más kritikus eszköz sem osztja meg ezt az IP-címet, és nem is függ ugyanattól a szabályozatlan tartománytól.És ha PC-ről játszol online, általában jobb, ha csak a szükséges portokat nyitod meg. Vagy csak alkalmanként használod az UPnP-t, és letiltod, amikor nincs rá szükséged.
Számos olyan eset van, amikor bizonyos játékok nagyon válogatósak voltak a hálózattal kapcsolatban, ami apró megszakításokat vagy problémákat okozott a játékok indításakor. Szinte azonnal abbahagyják a kudarcot Amikor a konzol a demilitarizált zóna mögött található, különösen akkor, ha sok közvetlen kommunikáció van a játékosok között, a különbség észrevehető.
DMZ, tűzfal és VPN tesztelés PC-n
A videojátékokon túl a demilitarizált zónát más célokra is használják. egy tűzfal vagy egy eszköz biztonságának ellenőrzése VPNHa az internetről szeretnéd ellenőrizni, hogy mely portok vannak valójában elérhetők egy szerveren vagy számítógépen, a legegyszerűbb módja, ha a router DMZ-jébe helyezed azt.
Ha a router nem szűri az adott eszközhöz tartozó portokat, akkor minden, amit kívülről történő szkenneléskor nyitva látsz, érintett lesz. Kizárólag a számítógép helyi tűzfalától függ.Ez lehetővé teszi a szabályok hibakeresését, a szükségtelenül elérhető szolgáltatások megtalálását, és annak finomhangolását, hogy mit szeretne kívülről elérhetővé tenni.
Néhány VPN-protokoll, például az IPsec, igényel több különböző port nyitva És fejfájást okozhatnak, ha a NAT-láncban valami blokkolja a forgalom egy részét. Ilyen esetekben a DMZ ideiglenes engedélyezése a VPN-kiszolgáló felé segít kizárni a port- vagy NAT-problémákat.
Az ötlet egyszerű: engedélyezed a DMZ-t, teszteled, hogy a VPN megfelelően csatlakozik-e kívülről, ellenőrzöd, hogy mely portok érintettek, és ha már tisztáztad, Újra bezárod a DMZ-t, és csak a legszükségesebb portokat nyitod meg. továbbítási szabályokon keresztül. Ez egy praktikus módja a probléma elkülönítésének anélkül, hogy a csapat hosszú távon védtelen maradna.
Érdemes hangsúlyozni, hogy alapértelmezés szerint a legtöbb otthoni router rendelkezik Minden bejövő port le van zárva, ha nincsenek porttovábbítási szabályok.A demilitarizált zóna szándékosan megszakítja ezt a védelmet, ezért csak ideiglenes diagnosztikai eszközként vagy szigorúan ellenőrzött berendezésekkel szabad használni.
Forgalomfigyelés és -elemzés demilitarizált zónában
A demilitarizált zóna egy másik érdekes felhasználási módja, amely gyakoribb a haladó vagy félprofesszionális környezetekben, a a veszélyeztetett szolgáltatásokba belépő és onnan kilépő hálózati forgalom monitorozásaA látható szerverek különálló területre helyezésével könnyebb elemezni a történéseket.
Egy jól megtervezett demilitarizált zóna speciális csomagrögzítő és -elemző eszközöket használ, más néven szimatolók vagy protokollelemzőkEzek a programok lebontják az egyes csomagokat: forrás IP-cím, cél IP-cím, port, protokoll és tartalom, lehetővé téve a kíváncsi vagy közvetlenül gyanús minták észlelését.
A valós idejű vizualizáció mellett számos monitorozási megoldás rendelkezik olyan funkciókkal is, mint történelmi nyilvántartás és tárolásEz nagyon hasznos a múltbeli incidensek áttekintéséhez, a már bekövetkezett támadások tanulmányozásához, vagy a csak időszakosan jelentkező konfigurációs hibák hibakereséséhez.
A legfejlettebb rendszerek nem csupán nyers adatokat jelenítenek meg: használják is őket. algoritmusok és akár mesterséges intelligencia hogy megkülönböztessék a normál forgalmat a rendellenes viselkedéstől. Átlátható grafikus felületeiknek köszönhetően a rendszergazda könnyen azonosíthatja a szokatlan növekedéseket, a tömeges vizsgálatokat vagy a sérülékenység kihasználására tett kísérleteket.
Mivel a demilitarizált zóna gyakran az első hely, amelyet a támadások eltalálnak, gyakori, hogy ezeket az eszközöket kombinálják a következőkkel: behatolásérzékelő és -megelőző rendszerek (IDS/IPS)Így nemcsak azt látod, hogy valami furcsa történik, hanem automatizálhatod a válaszokat is a támadás megállítására vagy az érintett csapat elkülönítésére.
A DMZ használata üzleti és szakmai hálózatokban
A vállalati világban a DMZ koncepciója messze túlmutat a nappaliban elhelyezett routerdobozon. Itt egy olyan rendszerről beszélünk, elkülönített és jól védett alhálózat, ahol a közművek találhatók, például weboldalak, levelezőszerverek, külső hitelesítési rendszerek vagy kliensoldali API-k.
Ennek a területnek a fő funkciója, hogy működjön közbenső réteg az internet és a vállalat belső hálózata közöttA tűzfal szigorúan szabályozza, hogy milyen forgalom haladhat át az internetről a demilitarizált zónába (DMZ), és milyen kapcsolatok engedélyezettek a DMZ-ből a belső helyi hálózatba (LAN), ahol az érzékeny adatok és a kritikus rendszerek találhatók.
Ezzel az architektúrával, ha egy támadónak sikerül feltörnie egy szervert a demilitarizált zónában (DMZ), a kár elvileg a DMZ-n belül marad. tartalom az adott izolált alhálózaton belülNincs szabad keze a belső adatbázisok, az alkalmazottak felszerelése vagy a pénzügyi irányítási rendszerek felett.
Ez a megközelítés hozzáad egy extra védelem az adatszivárgások, a jogosulatlan hozzáférés és az adathalász támadások ellenCsak pontosan az a szolgáltatás jelenik meg, amire az ügyfeleknek szükségük van, míg minden más további akadályok mögött marad.
A magas biztonsági követelményekkel rendelkező vállalatoknál a DMZ-t gyakran más intézkedésekkel kombinálják, mint például a VLAN szegmentálás, több különböző gyártótól származó tűzfal és a szigorú minimális kitettségi szabályzat, mindezt azzal a céllal, hogy hogy a behatolási kísérletet a lehető legnehezebbé tegyék.
DMZ, dupla NAT és routercsere
Az optikai kábeles kapcsolatokban nagyon gyakori, hogy az üzemeltető által telepített router korlátozott funkciók, gyenge Wi-Fi, vagy nagyon korlátozott konfigurációSok felhasználó úgy dönt, hogy egy jobb, harmadik féltől származó routert vásárol, és a szolgáltató routerének mögé csatlakoztatja.
A probléma az, hogy ha az üzemeltető berendezése nem engedélyezi a bridge módban történő konfigurációt, vagy nem adja meg az ONT hitelesítő adatokat, akkor ezzel a problémával kell szembenézned. két router egymás után NAT-ot hajt végreEzt dupla NAT-nak nevezik, és jelentősen megnehezíti a porttovábbítást és a nyílt NAT elérését konzolokon.
Ebben az esetben a demilitarizált zóna (DMZ) egyfajta elfogadható megoldás: úgy konfigurálja az internetszolgáltató routerét, hogy A DMZ-nek a semleges router WAN IP-címére kell mutatnia.Így minden bejövő forgalom közvetlenül a második routerre kerül, ahol aztán szabadabban kezelheted a portokat, az UPnP-t és egyéb beállításokat.
DMZ nélkül egy semleges routerhez csatlakoztatott PC vagy konzol portjának megnyitásához a következőket kellene tennie: láncszabályok mindkét routerenEgy kapcsolat a fő routertől a másodlagos routerig, és egy másik a másodlagos routertől az utolsó eszközig. A DMZ-vel csak a második kapcsolatot kell kezelni.
Ha azonban az online versenyjátékok iránt érdeklődik, érdemes ellenőrizni, hogy a szolgáltatója használja-e CG-NAT, nyilvános IP-cím megosztása több kliens közöttHa így van, akkor még akkor sem leszel képes valóban nyílt NAT-ot elérni, ha tökéletesen konfigurálod a hálózatodat; sok esetben kérheted a CG-NAT-ból való kilépést, hogy megkapd a saját nyilvános IP-címedet.
Hogyan lehet megnyitni a DMZ-t egy otthoni routeren
Bár minden gyártónak megvannak a saját menüi, az otthoni DMZ beállításának általános logikája általában nagyon hasonló: Először beállítod az eszköz IP-címét, majd aktiválod a DMZ funkciót az adott IP-címre mutatva.A rend fontos, hogy elkerüljük a rendetlenséget.
Az első lépés annak azonosítása, hogy melyik router modellel rendelkezik, és Hogyan férhet hozzá az adminisztrációs panelhezAz alapértelmezett hozzáférési IP-cím, felhasználónév és jelszó általában az eszköz alján található matricán található. Ha ezek nincsenek ott, ellenőrizheti az alapértelmezett átjárót a számítógépén vagy mobileszközén, és kipróbálhatja a szokásos hitelesítő adatokat, például az „admin/admin”-t, kivéve, ha az internetszolgáltatója megváltoztatta azokat.
Miután belépett a panelbe, két lehetősége van annak biztosítására, hogy a konzol vagy eszköz ne változtassa meg az IP-címét. Vagy Statikus IP-címet közvetlenül az eszközön konfigurálhat.Használhatsz a router automatikus DHCP-jén kívüli tartományt, vagy használhatod a router statikus DHCP opcióját, hogy mindig ugyanazt az IP-címet rendelje ugyanahhoz a MAC-címhez.
Miután megvan a garantált IP-cím, itt az ideje megkeresni a DMZ részt. Az útválasztótól függően ez olyan szakaszokban jelenhet meg, mint a Tűzfal, biztonság, NAT, virtuális szerver, alkalmazások és játékok vagy a speciális portbeállításokon belül. Néhány ASUS eszközhöz hasonló modellen például a tipikus elérési út a WAN > DMZ.
A DMZ űrlapon aktiválja a funkciót, és adja meg a a közzétenni kívánt eszköz privát IP-címe és mentse el a módosításokat. A konfiguráció alkalmazása után a bejövő, adott szabály nélküli forgalom közvetlenül az adott IP-címre lesz továbbítva.
A demilitarizált zóna tényleg minden portot megnyit?
Bár a demilitarizált zónát gyakran úgy írják le, mint amely „mindent megnyit”, a gyakorlatban van egy fontos árnyalatnyi különbség: A specifikus porttovábbítási szabályok elsőbbséget élveznek a demilitarizált zónával (DMZ) szemben.Más szóval, ha már van egy portod átirányítva egy másik IP-címre, akkor az a szabály élvez elsőbbséget.
A legtöbb otthoni router belsőleg Linux alapú rendszert használ iptables-szel a tűzfal és a NAT kezeléséhez. Ezekben a szabályláncokban, A porttovábbítási bejegyzések feldolgozása az általános DMZ-szabály előtt történik.Csak akkor történik meg a forgalom a DMZ IP-címre küldése, ha nincs egyező port.
Ez azt jelenti, hogy rendelkezhetsz például a következővel: egy webszerver vagy egy NAS, amelynek bizonyos portjai nyitva vannak És ezzel egy időben a demilitarizált zónában lévő konzol fogadja a többi forgalmat. Ennek a szervernek a portjai nem lesznek továbbítva a konzolnak, mivel a szabályai elsőbbséget élveznek.
Mindenesetre, bár a gyártók jelentősen leegyszerűsítették a konfigurációs felületeket, ez nem változtat azon a tényen, hogy A demilitarizált zóna aktiválása továbbra is kényes műveletHa úgy dönt, hogy használja, mindig győződjön meg arról, hogy a kitett eszköz saját tűzfala aktív és naprakész.
Ezenkívül tanácsos rendszeresen felülvizsgálni a számítógépen futó szolgáltatásokat és szoftvereket. Ez azért van, mert A portok szkennelése és a sebezhetőségek kihasználására tett kísérletek folyamatosak. az interneten, még a látszólag jelentéktelen otthoni kapcsolatok esetében is.
DMZ és IPv6 protokoll
Amikor belépünk az IPv6 világába, a játék néhány szabálya megváltozik az IPv4-hez képest. Itt van... A klasszikus NAT-ot nem használják; minden eszköznek egyedi globális címe van. és közvetlenül elérhető az internetről, kivéve, ha tűzfal blokkolja.
IPv6-ban DMZ-szerű zóna beállításához NAT helyett a következőkre van szükség: alhálózati szegmentálás és finomhangolt tűzfalszabályokLegalább egynél több /64 alhálózatra lesz szükség, mivel minden zónának (belső LAN, DMZ stb.) sajátnak kell lennie.
Általában egy nagyobb blokkot kérsz az operátorodtól, például egy /56-ot vagy egy /48-at, ami lehetővé teszi, hogy oszd fel több részre /64egy a fő belső hálózathoz, egy másik a demilitarizált zónához, és továbbiak a jövőbeli bővítésekhez vagy meghatározott zónákhoz.
Ebben a forgatókönyvben nincs "NAT által meghatározott" DMZ, de a tűzfalban definiálod, hogy milyen forgalom engedélyezett az internetről a DMZ alhálózatba, és Mekkora forgalom mehet vissza a demilitarizált zónából a helyi hálózatba?Ez egy tisztább és hatékonyabb megközelítés, de egy kicsit több tudást is igényel.
Mint mindig, a kulcs a tűzfalszabályokban rejlik. Szükséged lesz rá csak a DMZ szerverek létfontosságú portjait engedélyezze és a lehető legnagyobb mértékben korlátozza a demilitarizált zónából a belterületre kezdeményezett kapcsolatokat, a legkisebb privilégium elvét alkalmazva.
A DMZ beállítása konzolkapcsolatokhoz nagyon hatékony eszköz lehet a szigorú NAT-problémák, a nem induló játékok vagy az instabil hangcsevegés kiküszöbölésére. De ezt körültekintően kell végezni. Helyes használat esetén hasznos eszközzé válik a hálózati eszköztáradban, nem pedig egy állandó hátsó ajtóvá a digitális otthonodba.
