請問一下WIN2K架NAT內部的可否擁有真實IP
就是我有一台連外的主機有架NAT跟防火強，內部的工作站都靠它來上網
可是我現在又想架DNS跟WEB在另一台主機上，必需要用真實IP
請問這樣可以架在NAT底下嗎？
因為我現在想要的就是DNS跟WEB這台主機可以有防火強的保護
而不是直接灌在這台上面
想說NAT上就有了，那這樣可行嗎？

贊助商連結

　　嗯！應該用 three-homed firewall，把對外的主機放在 DMZ 吧！

最初由 Davis 發表
倘若只是WIN2000內建的NAT功能, 你只需要做個簡單的PORT MAPPING即可.

Schnaufer兄所述的DMZ區是最理想的解決方案, 由於是直接用IP ROUTING轉送封包, 不需替換標頭與更改封包的IP, 所以效能會比PORT MAPPING好, ...
就我的了解與經驗，DMZ就是IP分享器中的功能吧
那不就是很單純的真實IP指向虛擬IP
NAT應該就可完全作到
還是你們說的三隻腳防火強也包含有DMZ功能

謝謝講解…清楚明白
那請問port mapping主要有什麼效用…
聽Davis大這麼講他還是免不了解讀封包/修改封包內容/重新包裝封包的過程，
。那它的優點在那堙H

最初由 Davis 發表
[B]最近新文章不多, 為了打發時間只好回頭鞭鞭屍, 看到了ivyserver兄的發言, 有些觀念我希望能和大家討論一下.

我們常提起的DMZ區, 全名是De-Militarized Zone (非交戰區), 嚴格說來, IP分享器所指的DMZ其實是PORT MAPPING, 這二者是完全不一樣的概念, 實作方式也不同. 可是現在很多人都被廠商的噱頭耍得團團轉, 把二者混為一談. 請看圖示:

http://www.sohogroup.org/image/dmz.gif



終於了解了，以前都把DMZ跟NAT搞不清楚
現在我在我公司的防火牆使用DMZ的功能後
下面的SERVER果然可以用實體IP對外溝通

那是不是這樣子設吧~
DMZ 192.168.1.1對應到203.149.249.xxx
再看我需要什麼樣的服務開什麼樣的port
是這樣子嗎
謝謝

最初由 mingwei6444 發表
那是不是這樣子設吧~
DMZ 192.168.1.1對應到203.149.249.xxx
再看我需要什麼樣的服務開什麼樣的port
是這樣子嗎
謝謝

不對
DMZ本身就是用真實IP，不用特別指定對應
而DMZ下面的電腦設成真實IP就好了，通訊閘直接設ADSL本身既可
等於底下的電腦不用改
也不用特別去開PORT，因為是全部PORT整個對應進來

最初由 ivyserver 發表
不對
DMZ本身就是用真實IP，不用特別指定對應
而DMZ下面的電腦設成真實IP就好了，通訊閘直接設ADSL本身既可
等於底下的電腦不用改
也不用特別去開PORT，因為是全部PORT整個對應進來
所以是說~設DMZ的時候就直接設Firewall即可嗎
server那堣]只要設真IP就可以了
因為我之前聽過ZyWall的設定是說DMZ那堻]定的方法是像我講的那樣子ㄝ:confused:
還是我聽錯了......
那如果是設真實IP的話~server的保護就是靠Firewall規則的設定了嗎
是這樣子嗎~~有點給他花了@@
謝謝個位

最初由 mingwei6444 發表
所以是說~設DMZ的時候就直接設Firewall即可嗎
server那堣]只要設真IP就可以了
因為我之前聽過ZyWall的設定是說DMZ那堻]定的方法是像我講的那樣子ㄝ:confused:
還是我聽錯了......
那如果是設真實IP的話~server的保護就是靠Firewall規則的設定了嗎
是這樣子嗎~~有點給他花了@@
謝謝個位

NAT方式
　ADSL數據機[真實IP.1]
　　　｜
　　　防火牆[真實IP.2][虛擬IP.1]
　　　　｜
　　　　底下主機設定法
　　　　　　IP：虛擬IP.2
　　　　通訊閘：虛擬IP.1

DMZ方式
　ADSL數據機[真實IP.1]
　　　｜
　　　防火牆[真實IP.2]
　　　　｜
　　　　底下主機設定法
　　　　　　IP：真實IP.3
　　　　通訊閘：真實IP.1

最初由 ivyserver 發表
NAT方式
　ADSL數據機[真實IP.1]
　　　｜
　　　防火牆[真實IP.2][虛擬IP.1]
　　　　｜
　　　　底下主機設定法
　　　　　　IP：虛擬IP.2.....
　　　

這樣講的話
那ZyWall-100所講的DMZ也不能說是真的DMZ了嗎
那DMZ喒erver的保護也是靠Firewall的設定去做保護的嗎
謝謝