Beantwoord

Is het veilig een webserver in DMZ te zetten?

  • 18 October 2021
  • 6 reacties
  • 1519 keer bekeken
P
Rank

Dag Allen,

 

ik heb dit forum afgespeurd naar vragen met betrekking tot thuis een website draaien. Ik heb nog niet gevonden wat ik zocht dus vandaar dit topic/deze vraag. Onlangs heb ik een nieuwe router (de V12) en sindsdien zijn mijn websites niet meer vanaf buiten mijn LAN te bereiken. Dit was de enige verandering na jaren gewoon werken, en ik zou graag een oplossing hebben.

 

Mijn situatie is als volgt:

  • Ik heb een nieuwe KPN Router Experia box V10 (sinds een paar weken).
  • Ports 80 (HTTP) en 443 (HTTPS) geforward naar een apparaat op 192.168.2.1
  • Sites draaien op dit apparaat (raspberry pi + LAMP)
  • Deze pi is tevens een reverse proxy naar andere pi's met andere sites (tevens allen LAMP)
  • Apparaten binnen mijn netwerk (LAN) kunnen mijn sites benaderen en ik krijg het gewenste resultaat (een functionerende website)
  • Apparaten buiten mijn netwerk (zoals familie en frienden) krijgen een 408 Time Out error (ERR_TIMED_OUT)
  • Ik krijg zelf een 408 als ik via een TOR connectie de site open (wat logisch is, weer een ERR_TIMED_OUT).
  • Wanneer ik de Raspberry Pi (de reverse proxy) in de DMZ zet, dan zijn de sites toegankelijk.

Nou had ik van een techneut bij de KPN helpdesk begrepen dat het plaatsen van een apparaat in de DMZ hetzelfde is als de firewall uitschakelen op het netwerk. Ik weet redelijk wat van het inrichten van het netwerk, maar deze term was ik nog niet tegen gekomen.

Mijn hoofdvraag: Hoe zit het verhaal technisch inelkaar?

Wanneer ik de Raspberry Pi in de DMZ zet (of mijn laptop voor videobellen bijvoorbeeld), zijn deze apparaten dan onbeschermd? Is de rest van mijn netwerk dan niet toegankelijk via deze apparaten? Bijvoorbeeld, kan er dan niet worden ge-SSH'd naar mijn pi, en vanaf daar naar andere verbonden apparaten?

Graag zou ik de situatie zien zoals met mijn oude router: port forwarding van 80 en 443 is voldoende.

Daarnaast zou technische hulp bij de telefonische helpdesk ook enorm behulpzaam zijn.

 

Alvast bedankt voor de antwoorden/replies.

 

Met vriendelijke groet

icon

Beste antwoord door RBxx 18 October 2021, 21:51

Bekijk origineel
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

6 reacties

wjb
Rank
Reputatie 7

Je moet nooit een webserver als DMZ Host instellen.

Een DMZ Host moet je alleen gebruiken om een tweede router op aan te sluiten.

Kan je eens een screenshot plaatsen van jouw port-forwarding?

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Nee, dat is niet veilig. En dat moet ook niet nodig zijn. DMZ is voor een 2de router. Verder nergens voor. Kunt u een schermafdruk plaatsen van de poort forwarding die u gemaakt heeft?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
P
Rank

Bedankt voor de vlotte antwoorden. Bij deze de ports.

RBxx
Rank
Reputatie 7
Badge +21

@PB1987 Vul bij external host een sterretje in .

Groeten, Ruud. Tevreden KPN klant (sinds 1993) | Glas 200Mbps (11-2023) | Nokia XGS-PON ONT | KPN Box 12 (fw:SGEJ1000060E) | 2x SuperWifi 2 (fw:3.00.31) |
P
Rank

Bedankt RBxx, dit is inderdaad een oplossing. Klopt het dat ik tevens mijn externe IP adres daar zou kunnen invullen?

RBxx
Rank
Reputatie 7
Badge +21

Nee, in dat veld zet je het ip-adres van de externe locatie die jij toegang wil geven tot de poort. 
Bijvoorbeeld de locatie waar jij werkt of verblijft. Door het sterretje open je de poort voor ieder ip-adres.

Groeten, Ruud. Tevreden KPN klant (sinds 1993) | Glas 200Mbps (11-2023) | Nokia XGS-PON ONT | KPN Box 12 (fw:SGEJ1000060E) | 2x SuperWifi 2 (fw:3.00.31) |

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden