Reguna

你咪試下囉，跟住講個 IP 比人知喎。
javacomhk 發表於 2022-5-18 10:40

巴打點睇用cloudflare tunnel？
好似可以放野出街 同時又唔洗暴露ip (不過就依賴cloudflare

dwight

可唔可以從LAN connect去DMZ做troubleshoot?
我想買switch都係第時插多部機上DMZ
或者介多個VLAN做DMZ同L ...
Reguna 發表於 2022-5-18 10:38

一開始可能連DMZ個vm都connect 唔到network, 要troubleshoot 係pfSense 定vm問題冇第二部機响DMZ會比較難

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

javacomhk

巴打點睇用cloudflare tunnel？
好似可以放野出街 同時又唔洗暴露ip (不過就依賴cloudflare ...
Reguna 發表於 2022-5-18 02:57

如果淨係 webserver 都得嘅，不過佢要你有 domain name 喎， ddns 好似唔得喎。

觀星是答案

係網路安全方面出發 , 人手做 Port Forward 好過行 DMZ

dwight

其實所謂DMZ我理解係將D放出街既Service放曬係一個地方
唔出街就放番LAN
唔咁做咪乜都放一齊 唔係更唔安 ...
Reguna 發表於 2022-5-18 10:34

起DMZ要識set firewall rules分隔DMZ同LAN先有用, 就咁分兩個segments 但俾佢route通哂係冇用

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

Reguna

係網路安全方面出發 , 人手做 Port Forward 好過行 DMZ
觀星是答案 發表於 2022-5-18 12:19

可能我理解錯左DMZ
我諗住係有兩個subnet 一個放出街service 一個放私人野
然後出街個邊就用reverse proxy放d service出街 (唔會全部port開曬
咁分兩個 就算出街subset比人hack左 都冇咁大損失

肥矢

回覆 14# 觀星是答案


    應該唔係, 要睇你點set, dmz都可以做port forward/mapping, 同埋dmz係另一個subnet for external access, 用remote desktop做例子, 如果port forward去LAN rdp機, 如果比人hack左,成個LAN都比外面經rdp機access到, 因為同subnet firewall control唔到, 但分左dmz多左另一個subnet, 外面hack左入部rdp機(dmz), 都淨係可以access到dmz個subnet既機, 去LAN既就可以用firewall block. 所以dmz一定要加埋firewall rule block

Reguna

起DMZ要識set firewall rules分隔DMZ同LAN先有用, 就咁分兩個segments 但俾佢route通哂係冇用

via HKEPC ...
dwight 發表於 2022-5-18 12:23

會做的 LAN只會放必要port比DMZ(NAS SMB port)

evantkh

可能我理解錯左DMZ
我諗住係有兩個subnet 一個放出街service 一個放私人野
然後出街個邊就用reverse proxy ...
Reguna 發表於 2022-5-18 12:36

雖然感覺安全左，但如果你個application本身有漏洞，加reverse proxy都未必有用。

Reguna

如果淨係 webserver 都得嘅，不過佢要你有 domain name 喎， ddns 好似唔得喎。
javacomhk 發表於 2022-5-18 11:56

好似係
一係租個vps做proxy  但都係要比錢
研究下先