Oke, effe discussieren dan.
Een DMZ is inderdaad een Demilitarized Zone.
Dat wil zeggen dat hij een ip adres krijgt, wat buiten de ranges ligt van de reeds aanwezige interne netwerken.
Dit om te voorkomen, dat een eventuele hacker, die op een DMZ machine binnendringt, niet over de rest van het netwerk verder kan gaan.
Dat is ook de reden dat ze vaak een webserver in een DMZ zone gaan zetten.
Stel je interne ip's zijn 192.168.0.1 en 192.168.0.2 etc. Dan is dat het gewone interne ip.
Wil je de DB dan in een DMZ gaan zetten, dan wordt het bijvoorbeeld 10.0.0.1 of 192.168.1.1 of iets in die geest.
Daarmee veroorzaak je meteen, dat je pc's omdat die op het 192 segment in de 0.x range liggen, je DB -niet- meer over het interne netwerk zullen kunnen benaderen.
Je zit nameijk op een heel ander netwerk met de DB dan het netwerk waar je met de pc's op zit.
Het enige waarbij het wel zou kunnen, is inderdaad als je een router gebruikt, en deze router zorgt voor een dergelijke routering, dat je via het 0.x segment ook het 1.x segment of de 10.x.x.x range kunt benaderen.
Als die routing er is, dan vraag ik me af waar dan de beveiliging precies zit, want die routing ligt er dan intern. Als we dan over een webserver spreken waar je op inbreekt, dan zit je op dat moment ook intern, en kun je dus alsnog fijn ook op de andere interne pc's komen.
Ik wil daarmee dus niet zeggen dat het onmogelijk is, maar ik vraag me dan wel ten zeerste af hoe ze dat in elkaar willen steken met behoud van de beveiliging waarvoor een DMZ net bedoelt is.
Verder hoeft je DB niet in de DMZ en dat weet ik zeker want ik zit hier zelf achter een router/firewall en hij zit gewoon op het interne netwerk, kwestie van even zorgen dat hij toegelaten word voor bepaalde verbindingen op bepaalde poorten naar de buitenwereld toe.
Bij het gebruiken van de DMZ van de router, regelt de router dat zelf, maar je kunt hem ook als "pc" ingeven en dan handmatig bepalen wat open mag en wat niet.