肥矢

回覆 16# Reguna


    你無理解錯, 只係dmz有唔同玩法, 一般router d dmz係簡化左, 唔使做port forward. Firewall 既dmz有好多玩法, 可以set 另一個subnet, 甚至係直接assign public落去d機都得, 放firewall前面都得, 睇你想點玩啫

Reguna

雖然感覺安全左，但如果你個application本身有漏洞，加reverse proxy都未必有用。 ...
evantkh 發表於 2022-5-18 12:37

係  所以就想分開DMZ
咁就算被hack都可以盡量減低損失
最安全永遠係VPN Only

kofz

你咪試下囉，跟住講個 IP 比人知喎。
javacomhk 發表於 2022-5-18 10:40

唔駛講

Ip段日日有"有心人"scan

揾到你有漏洞就"做野"

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

evantkh

係  所以就想分開DMZ
咁就算被hack都可以盡量減低損失
最安全永遠係VPN Only ...
Reguna 發表於 2022-5-18 12:45

我的意思是攻擊有可能穿過隻reverse proxy直接對入面的application做成破壞，因為個request始終都會入去。
但有一個case會有用，例如個proxy會明白個protocol幫助去堵塞一個舊的軟件的漏洞。不過又有另一個問題，如果你明知有漏洞為何不是選擇修復而是加reverse proxy(甚至是IPS)。

關於IPS︰例如你加入一個規則禁止用root登入，為何你會依賴這個rule而不是直接在伺服器關掉root登入？

fakeman

睇到Amazon最熱門隻Switch係TP-Link TL-SG108E
聲稱support VLAN
香港都係賣250$
但我見鬼佬話佢個VLAN有se ...
Reguna 發表於 2022-5-18 01:41

    佢嘅 VLAN 網上都見人話有問題，不過更大問題係 link aggregation....冇記錯唔 support LACP.....

fakeman

明白，不過我而家lan port唔夠用 基本上一定要買switch
巴打知唔知二手switch買唔買得過？可以既話我想買 ...
Reguna 發表於 2022-5-18 08:22

    買 Mikrotik 果 d.....平平哋 ok 嘅

fakeman

巴打點睇用cloudflare tunnel？
好似可以放野出街 同時又唔洗暴露ip (不過就依賴cloudflare ...
Reguna 發表於 2022-5-18 10:57

    Cloudflare tunnel OK 嘅，但注意唔可以玩 streaming 嘢（免費 plan 的話）

fakeman

我的意思是攻擊有可能穿過隻reverse proxy直接對入面的application做成破壞，因為個request始終都會入去 ...
evantkh 發表於 2022-5-18 12:50

    其實係有分別嘅

你講得無錯，明知有漏洞最根本應該 fix server 問題，但 IDS/IPS 係靠 pattern 去分析，有時你未必知道 server 有嘢錯咗。而 hacking 嘅對方一般要想辦法知道你行咩 system/services 先可以判斷點用已知漏洞，reverse proxy 由於隔咗一嘢所以對家唔會即刻知道你咩 system，另外就係，reverse proxy 可以只 forward 合理嘅 request，咁例如你 server 對於某奇怪 request 本身會有反應，reverse proxy 由於唔會轉發所以又避開咗個問題

Reguna

我上carousell見到二手Zyxel GS2210-8HP 賣500 (新機賣2200
又或者netgear gs750e 賣350 (新機賣2500
平到係覺得有伏

fakeman

我上carousell見到二手Zyxel GS2210-8HP 賣500 (新機賣2200
又或者netgear gs750e 賣350 (新機賣2500
平到 ...
Reguna 發表於 2022-5-18 14:06

    Netgear switch 好多都俾人話如果你轉駁第二隻牌子 switch 的話 VLAN 會通唔到，應該係 firmware bug 唔知改咗未

我買隻 Mikrotik 24 port 都係百幾蚊美金......唔會考慮呢 d 二手