Pregunta ¿Cómo puedo enrutadores DMZ 2 al mismo tiempo en 1 enrutador?


Tengo mi módem ISP que está conectado al enrutador A. Tengo 2 enrutadores más: enrutador B y enrutador C. El enrutador A se configura como el host DMZ para el enrutador B

¿Cómo puedo configurar el enrutador B y el enrutador C para obtener conexiones de todos los puertos y luego, desde cada enrutador, de forma individual, permitir la conexión a sus propias computadoras?


2


origen


¿Para qué necesitas 3 enrutadores? ¿No sería suficiente A? - grawity
¿Realmente acepta conexiones entrantes no solicitadas en tantos puertos que desea "DMZ todo" en lugar de utilizar las reglas de reenvío de puertos? - Twisty Impersonator
Todavía están bloqueados en el enrutador B. Simplemente era más fácil para el enrutador DMZ 1 y realizaban el reenvío de puertos desde ese enrutador específico en lugar de reenviar puertos a todos los puertos que necesitaba dos veces. - TermoZour


Respuestas:


No puedes, porque es técnicamente imposible.

Los enrutadores no son lo suficientemente inteligentes como para poder identificar cuándo el tráfico entrante de un puerto tiene un destino especial en su LAN. Entonces, para conocer el enrutador al que debe ir el tráfico, reenvía los puertos entrantes a un destino.

DMZ básicamente dice: reenvía todos los puertos a una IP. No puede simplemente usar DMZ 2 puertos y esperar que el enrutador copie el tráfico a ambos enrutadores.

El primer dispositivo que respondería con una autorización obtendría la conexión y el tráfico nunca llegaría al otro dispositivo debido a eso.

Lo que quiere hacer es crear una gama de puertos y dedicarlos a uno de los enrutadores, y crear un rango separado y dedicarlo al otro enrutador.

Por ejemplo, todos los puertos de 10000-11000 corresponden al enrutador 1 y los puertos de 12000 a 13000 corresponden al enrutador 2. DMZ no se utiliza en absoluto.

Si esto no es aceptable, coloque todas las redes en el primer enrutador y realice el reenvío de puertos según sea necesario.


5



Estaba planeando usar diferentes puertos de todos modos. ¿Cómo seleccionaría el rango de puertos para enrutadores específicos? - TermoZour
Normalmente no abres puertos. Solo abre un puerto cuando sea necesario y, a causa de la demanda, sabe qué puertos necesita abrir. Al abrir un rango selecto de puertos para el segundo y tercer enrutador, solo se requiere modificar las reglas de reenvío de puertos en esos enrutadores en lugar de en toda la ruta (módem a enrutador 1 a enrutador 2). Cualquier puerto que no esté en uso se puede reenviar a un enrutador diferente. Tenga en cuenta que algunos dispositivos requieren que se abra un puerto específico desde el lado WAN (Internet). En esos casos, realmente necesita configurarlo en todas partes. - LPChip
Esto solo es cierto para enrutadores de consumo tontos. Si está utilizando cualquier tipo de SO de enrutamiento completo (como pfSense o IPFW), una DMZ es un segmento de red físicamente aislado, no un único host en la red principal. - Austin Hemmelgarn
@AustinHemmelgarn Trabajo mucho con los enrutadores Mikrotik, que considero redes empresariales, e incluso allí, no puedo configurar DMZ en más de una dirección IP o interfaz de red. - LPChip
@LPChip Si hay una opción etiquetada 'DMZ', generalmente es un único host, porque esa es la única razón por la que necesita alguna opción especial para comenzar. Cuando se hace como una 'zona' real, un segmento DMZ no es diferente de cualquier otro segmento de red independiente. pfSense, por ejemplo, no tiene una opción especial 'DMZ', porque esperan que uses una red físicamente aislada (porque es mucho más seguro hacerlo) y la tratas como cualquier otro segmento de red interno. - Austin Hemmelgarn