两个路由器,打开 DMZ 并关闭防火墙,这不是个好主意吗?

两个路由器,打开 DMZ 并关闭防火墙,这不是个好主意吗?

首先我将解释如何设置:

我有两个路由器。其中一个是我的 ISP 提供的 ONT/路由器 (Huaweii) 组合,用户数量有限,另一个是华硕路由器 ACRH1300。由于 ONT/路由器用户数量有限,我无法将 ONT 更改为桥接模式;因此其他论坛的人推荐了以下方法:

  1. ONT LAN IP 为 192.168.100.1,DHCP 范围为 192.168.100.3 至 .255

  2. ONT WLAN已关闭

  3. ONT 从 LAN1 到 WAN 连接到华硕路由器

  4. 所有设备均通过 Wi-Fi 连接到华硕路由器

  5. 华硕路由器静态 IP 为 192.168.100.2,子网为 255.255.255.0,网关为 192.168.100.1

  6. 华硕路由器 LAN IP 是 192.168.50.1

  7. 华硕路由器 DHCP 已关闭

  8. 关闭华硕路由器,并将 ONT 从 LAN1 连接到华硕路由器中的 LAN1

  9. 打开华硕路由器

完成此操作后,我无法再访问华硕路由器设置。然后我想起了 LAN IP,因此我将 Windows 中的 PC IP 从“自动”更改为“静态”,并将其设置为 192.168.50.2。当然,在执行此操作时,我无法上网,但我可以再次访问华硕设置,然后我想到将模式更改为 AP 模式,但这会关闭防火墙,所以我没有这样做(我稍后会解释原因),再次将我的 PC IP 从“静态”更改为“自动”,然后我在这里问这个问题。

问题是,来自同一 ISP 和 ONT 的其他用户告诉我,由于他们只给我们有限的访问权限,端口和其他方面存在很多问题,所以他们建议我将我的华硕路由器设置为 DMZ 主机(192.168.100.2),基本上打开所有到我的华硕路由器的端口,让华硕用其防火墙管理端口,这是否意味着如果我将华硕路由器设置为 AP 模式,将关闭两个防火墙,基本上我根本没有硬件防火墙保护?

我应该移除 DMZ 主机吗?那么我不应该将我的华硕路由器设置为 AP 模式吗?

基本上,我再也不知道什么才是最佳配置了。我读了很多资料,我这样做是为了避免我的 ISP 提供的 ONT 有限而出现问题,但我也不想完全暴露在黑客攻击或其他攻击之下,也不想处于太多 NAT 层之下。

附言:我对网络方面的东西还很陌生,所以请耐心等待。


好的,所以基本上我必须恢复到几乎出厂设置,除了静态 IP,这是我理解并知道如何做的:

  1. 给华硕路由器一个静态IP,完成。
  2. 在 ONT 上将 DMZ 设置到 192.168.100.2,我这样做了然后我删除了它,但我知道如何去做。
  3. 将 LAN IP 设置为 10.0.0.1,我认为只要它在私有范围内就没关系?例如,华硕路由器中以前的 LAN IP 是 192.168.50.1,除非绝对有必要将其设置为 10.0.0.1,无论如何我知道我可以将 LAN IP 设置为我想要的任何值,以及网络掩码、DHCP 和范围。
  4. 这对我来说是新的,我不确定 ONT 是否有这个选项,我在华硕设置中看到了一个路由选项卡,但 ONT 设置更有限,这是否意味着华硕路由器将通过 192.168.100.1 连接到 ONT,而 ONT 将通过 10.0.0.1 连接到华硕路由器? - 我在 ONT 设置中找到了此选项https://i.stack.imgur.com/9JcbI.jpg,我应该在这里设置路由吗?类似于内部主机:10.0.0.0,外部源 IP 地址:10.0.0.1 -- 255.255.255.0(我不知道这是否是正确的工具,可能不是)。
  5. 如果我可以执行步骤 4,即在 ASUS 上禁用 NAT,我知道在设置静态 IP 的同一选项卡上有一个禁用 NAT 的选项,所以我知道可以做到这一点。

我最大的障碍可能是第 4 步,因为我不知道在哪里可以找到该特定设置,或者它是否存在。

不过还是谢谢你,我希望你仍然能够帮助我。

答案1

答案取决于你想做什么。为了获得最大的控制和灵活性,我会将 ASUS 重新转换为路由器(包括 DHCP)服务器,并将其放在 LAN 和 ONT 之间。

为此,请为华硕路由器提供一个静态 IP 地址。在 WAN 上 - 192.168.100.2 是一个不错的选择。

在 ONT 上将 DMZ 设置为 192.168.100.2 - 这样所有来自互联网的流量都会重定向到它。这应该是安全的,因为它是 WAN(即不受信任的)接口。

将路由器上的 LAN IP 设置为 10.0.0.1,(网络掩码 255.255.255.0),并启用 DHCP 服务器和范围。

如果可能,请在 ONT 上为 10.0.0.0 网络掩码 255.255.255.0 网关 10.0.0.1 设置路由。如果您可以这样做,则在 ASUS 上禁用 NAT - 这两个步骤将避免双重 NAT,这很好,但即使您不能这样做,一切也会正常。

完成此操作后,您实际上将 ONT 视为 ISP 设备,将路由器视为您信任和管理的网络。这可能比将 ASUS 作为 AP 运行更安全、更灵活 - 这实际上意味着 ONT 控制您的网络。

相关内容