Domácí síť, DMZ nebo port forwarding?

[I.]

Zdravím, pro Vás to bude asi hlupecký dotaz, ale rád bych to dělal správně.

schematko
ADSL modem&wifi router -->-- wifi klient&router-----wifi bridge-->-- ...více PC, jedno z nich "samodomoserver")

Potřeboval bych mít možnost přistupovat z LAN i internetu na server (wol a vzdálená administrace pár ptákovin přes www rohraní). S tím, že přístup bude a) z jedné IP b) odkudkoliv s portknockingem. a i b budu muset pořešit asi až přímo na onom serveru, routery po cestě jsou lowendovější.

Jde mi o to, jestli mám tento server hodit do DMZ, nebo jestli je lepší použít prostě port forwarding z venčí na ADSL modemu a forwardovat to dál i přes další routery.

Díky za radu, Ivan

[Reklama]

[radek]

Problemy nastavaj kdyz se pripojujes z vnitrni IP na server pres vnejsi IP, routery to nezvladaj.

[jj]

Problemy nastavaj kdyz se pripojujes z vnitrni IP na server pres vnejsi IP, routery to nezvladaj.

to uz ale musi byt uplne blba kombinace blbeho routeru a blbeho nastaveni 

[Sten]

Z vlastní zkušenosti používám následující:

na ADSL NAT na zajímavé porty nasměrované na IP adresu toho serveru

na routerech routovanou adresu na ten server + ručně routovanou veřejnou IP adresu na ten server

na serveru nastavit i tu veřejnou IP adresu na síťové rozhraní jako ip.ad.re.sa/32

Přístup pomocí veřejné IP adresy potom funguje zvenku i zevnitř :-)

[I.]

Sten: hezké pravda paměť už slouží hůře a takhle si mohu ušetřit 15 znaků paměti na něco užitečnějšího

Ještě se optám na možná rizika. Nemám přímo na LAN žádný firewall, je forwardování bezpečné? Nebo může hrozit zneužití a připojení i na další PC na LAN? (znám konkrétně jen... chjo, vypadlo mi teď jak se to jmenuje - je to v RFC a řeší to předání paketů na IP za NATem)

[Reklama]

[Sten]

Sten: hezké pravda paměť už slouží hůře a takhle si mohu ušetřit 15 znaků paměti na něco užitečnějšího

Ještě se optám na možná rizika. Nemám přímo na LAN žádný firewall, je forwardování bezpečné? Nebo může hrozit zneužití a připojení i na další PC na LAN? (znám konkrétně jen... chjo, vypadlo mi teď jak se to jmenuje - je to v RFC a řeší to předání paketů na IP za NATem)

Forwardování (DNAT) je stejně bezpečné jako NAT, pokud forwardujete jen ty porty, na které chcete pustit kohokoliv zvenku. NAT ale sám o sobě moc bezpečný není a firewall rozhodně nenahradí.

[MilanK]

Potřeboval bych mít možnost přistupovat z LAN i internetu na server (wol a vzdálená administrace pár ptákovin přes www rohraní).

Jestli myslíte WOL toto serveru, tak koukněte, zda poslední router po cestě umí nastavit statickou ARP tabulku (Zyxel OS a Mikrotik ano).

Jestli jste to myslel jako činnost prováděnou z daného serveru běžícího 24/7, tak radu beru zpět.

[I.]

@Sten
Fw je obsažen v hraničním ADSL modemu + pokusuji se snortem.

Otázka jestli by v tomto směru něco jednoúčelového (alá toto na takéto domácí žvýkání) posloužilo lépe. Chápu-li to ale správně, tak by směrování portů mělo být v tomto směru v pohodě. Otázka nakolik je použitelnej ten fw v dlinku.

@MilanK
Díky za tip. Jde ale o malou domácí síť, použitý HW je o třídu níž