即使由局域网内的另一台计算机发起，DMZ也会将流量定向到其目标吗？

假设我的设置如下所示：

1. 路由器1连接到Internet（即调制解调器）。
2. 路由器2的WAN端口连接到路由器1的LAN端口。（即，路由器2是具有自己的子网和DHCP的“路由器后面的路由器”。）
3. WILD（计算机）连接到路由器1的LAN端口。
4. GOOD，MILD和TAME（所有计算机）连接到路由器2的LAN端口。
5. 路由器1 DMZ将所有传入的流量传送到路由器2。
6. 路由器2端口根据需要转发到GOOD，MILD和TAME。

题

元素5（即DMZ）会阻止WILD从Internet接收“答案”吗？

抱歉，我不知道“答案”的专业用语。

我想到了，例如：

• WILD向CNN.com请求一个网页。路由器1的DMZ会将该网页发送到路由器2而不是WILD吗？

• WILD中的FTP客户端启动FTP会话。当FTP服务器打开数据通道时，DMZ会将其发送到路由器2而不是WILD吗？

背景

顾名思义，我将使用WILD访问网站并运行可能包含恶意软件的可执行文件。我将路由器2放置为WILD和其他计算机之间的屏障（防火墙）。

我不知道这是否重要，但WILD实际上将是一台虚拟机。假设WILD托管在TAME中，则TAME将具有两个NIC。NIC 1（连接到路由器1）将在TAME中禁用，并专用于WILD。NIC 2（连接到路由器2）将在TAME本身中启用并使用。

路由器1和路由器2都不具有vLAN功能。

整个问题假设我想不出任何更好的方法来保护GOOD等不受WILD影响。

我唯一的另一个想法是将所有计算机都放置在同一LAN中，但是使用软件防火墙隔离WILD。但这似乎要求每台其他计算机（包括其他VM）都必须接收必要的防火墙设置，这比我建议的设置要多得多的工作。

元素5（即DMZ）会阻止WILD从Internet接收“答案”吗？

没有。

听起来您误解了DMZ的工作原理。将设备放在DMZ中不会导致路由器1将所有流量重定向到该节点。取而代之的是，您只是将节点放在不同的安全区域中，在该区域中，路由器的正常行为仅对该设备起作用。

例如，路由器防火墙检查中不包括DMZ区域中设备的流量。

路由器1的LAN接口后面的其他设备将继续正常运行。当WILD请求一个网页时，路由器会跟踪出站连接，以便在收到响应时知道将其发送回WILD。

某些路由器（通常是用户型号）也使用DMZ区域，就像巨型“将所有端口转发到此处”设置一样。与所有端口转发一样，这仅影响未经请求的入站连接。因此，即使有了这样的DMZ，作为连接的一部分的入站流量也将被发送到该节点，而不是DMZ所在的主机，该入站是以前由路由器LAN上的另一个主机建立的连接的一部分。

为了您的目的，您的设置似乎合理。我已经完成了类似的两路由器设置，尽管要通过这样的配置正确转发端口可能存在挑战，通常是因为路由器不喜欢在另一个NAT设备后面。如果对您有用，那就更好了！