Anatoly Podgoretsky
Для организации ДМЗ нужен маршрутизатор на входе как минимум с тремя интерфейсами, традиционно LAN (локальная сеть), WAN (интернет) , DMZ(демилитаризованная зона), причем интерфейсов каждой группы может быть несколько. Например веб сервер в своей подсети , почтовик в своей.

Возьмем простой пример 3 интерфейса, 3 подсети

192.168.0.1/24 LAN
192.168.1.1/24 DMZ
10.0.0.1/24 WAN (тут могут быть белые адреса, зависит от типа подключения к провайдеру.)

Обмен трафиком между ЛАН и ВАН фильтрует роутер, пропускает в ДМЗ только требуемые порты, обратно коннекты заблокированы. Обмен трафиком ЛАН-ВАН возможен только при инициализации соединения изнутри наружу. Обмен трафиком ВАН-ДМЗ только снаружи на внутрь и только на требуемый список портов. Могу расписать как выглядит в виде списка правил для iptables, как это выглядит для виндовых файрволов не в курсе.
То что ты нарисовал выше вообще не ДМЗ, там же нет подключения из Интернет, какой же это DMZ, а веб службы доступные из Интернет обязательное условия, что бы зону называть DMZ, отдельный изолированый компьютер к таким не относится, все все равно, что назвать всю локальную сеть зоной ДМЗ.[/quot]Анатолий, ты не торопись и читай внимательно. У меня все нормально написано, может я просто не упомянул про портмаппинг, таки да, маршрутизатор помимо фильтрации трафика организует еще DNAT и SNAT (в терминологии iptables, простите знаю как это по-русски).
википедияДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗНе вижу никакого противоречия википедии с нарисованной мной схемой.

сорри, сбились цитаты, багфикс.
IPAnatoly Podgoretsky
Для организации ДМЗ нужен маршрутизатор на входе как минимум с тремя интерфейсами, традиционно LAN (локальная сеть), WAN (интернет) , DMZ(демилитаризованная зона), причем интерфейсов каждой группы может быть несколько. Например веб сервер в своей подсети , почтовик в своей.

Возьмем простой пример 3 интерфейса, 3 подсети

192.168.0.1/24 LAN
192.168.1.1/24 DMZ
10.0.0.1/24 WAN (тут могут быть белые адреса, зависит от типа подключения к провайдеру.)

Обмен трафиком между ЛАН и ВАН фильтрует роутер, пропускает в ДМЗ только требуемые порты, обратно коннекты заблокированы. Обмен трафиком ЛАН-ВАН возможен только при инициализации соединения изнутри наружу. Обмен трафиком ВАН-ДМЗ только снаружи на внутрь и только на требуемый список портов. Могу расписать как выглядит в виде списка правил для iptables, как это выглядит для виндовых файрволов не в курсе.
То что ты нарисовал выше вообще не ДМЗ, там же нет подключения из Интернет, какой же это DMZ, а веб службы доступные из Интернет обязательное условия, что бы зону называть DMZ, отдельный изолированый компьютер к таким не относится, все все равно, что назвать всю локальную сеть зоной ДМЗ.Анатолий, ты не торопись и читай внимательно. У меня все нормально написано, может я просто не упомянул про портмаппинг, таки да, маршрутизатор помимо фильтрации трафика организует еще DNAT и SNAT (в терминологии iptables, простите знаю как это по-русски).
википедияДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗНе вижу никакого противоречия википедии с нарисованной мной схемой.

ssaichВ данном контексте мне нужно всего лишь из того что есть построить ДМЗ. вот...задача в принципе тривиальна
. есть комп..смотрит в инет...Грубо говоря если Я или кто то другой захочет с Компа-1 пролезть в сеть то не получится никак ..получится только пролезть на Комп-2 и все ... а Комп-2 является как бы шлюзом в инет что бы все те кто находится За ним по потребности могли подключится к инетуТогда в чем вопрос и где проблема?

ssaichВопрос начало темы... проблема ..правильно ли нарисовал (скорректируйте рисунок пожалуйста)Выше я уже постил свое видение рисунка, привел его так сказать к каноническому виду. Классическая схема построения ДМЗ тебе не нравится?

Anatoly PodgoretskyНет этого и этого, так что по определению, это не DMZТяжело разговаривать с человеком, который белое называет черным. Как это нет? Именно что есть. Читай внимательно мои посты.
IPОбмен трафиком между ЛАН и ВАН фильтрует роутер, пропускает в ДМЗ только требуемые порты, обратно коннекты заблокированы.
Об чем спор?

Тьфу, блин ачипятка в моей цитате.
читать как:

авторОбмен трафиком между ЛАН и ВАН ДМЗ фильтрует роутер, пропускает в ДМЗ только требуемые порты, обратно коннекты заблокированы.

Что никак не отменяет рисунка и схемы кроссировки, пусть хоть весь интернет смеется. :)

Чем схема отличается от канонической?
http://upload.wikimedia.org/wikipedia/commons/6/6f/DMZ_network_diagram_1_firewall.svg
Разве что небрежностью моего изложения. Нет отличий, нет их.

роутер это АДСЛ модем автора, ввв- комп1, хост с 3 хвостами - комп2 и т.д.

ssaichВы между собой стали сраться доказывая свою правоту ...Мы мирно беседуем. :) Ты не боись, драЦЦа не будем.

Если тебе всенепременнейше забить шуруп, то это не сюда, я привык делать так, чтоб в итоге работало, когда тебя твоей же картиной ё***т по башке, потом не хнычь.