建議一下我該如何規劃？

**arikchao** · 2004-07-14, 12:44 PM

我目前的網路規劃圖如附件：

紅色圈圈中的是主要對外服務的主機，
兩台對外的Linux主機1與2都有兩張網卡，分別均具有一個固定IP，
以及各自管理的私有網路區段，
因為主機2除了作為區網對外的NAT、DNS備援之外，
還兼具了備份主機的用途（RAID1）；

我現在希望能夠讓對外的主機群（紅圈內），
也都能夠每日定時備份到Linux主機2的檔案伺服器中，
可是不希望這個大量的網路傳輸透過外面真實IP的那個switch，
請問我應該如何規劃設定？

我可以直接在Linux主機1加一張網卡，連線到Linux主機2後面區網內的switch，
讓Linux主機1變成兩個私有網路的Router嗎？

**arikchao** · 2004-07-14, 12:54 PM

（附圖就是我的想法）
右邊的區網內工作站等都還是透過右邊的Linux主機2（NAT）上網，
並且在Linux主機2的DNS中使用view的設定，
讓工作站都是透過內部連線到左邊的主機群；
而主機備份時，也都是透過新加的那條紅色網路線到Linux主機2的檔案伺服中。

不知道各位認為這樣的方式對嗎？

我也很好奇，各位使用固3IP規劃網路時，
是採用哪種區域網路規劃方式呢？

**linux_xp** · 2004-07-15, 10:14 PM

你的 Linux 主機1，看似是多餘的
既然紅圈裡面電腦都是真實ip，那Linux 主機1的用途，就另人匪夷所思了

有對外的主機，每台兩片網卡，一對內，一對外
對內網卡，防火牆允許全部流量，就OK了

假設內部區網用的網段是：192.168.0.
Linux 主機2 ：192.168.0.2
對外主機，內部網卡也都是 192.168.0. 網段

Linux主機2，同時架設smaba和NAS
M$的主機，要備份，指名目標：\\Linux主機2
Linux的主機，要備份：指名目標：Linux主機2的NAS目錄

如此一來，傳給Linux主機2的，會自動走內部區網的方式

**mis339** · 2004-07-16, 11:58 AM

如果是我的話，我可能會把Linux2主機對外的功能轉給Linux1，由Linux1來做NAT的功能，讓Linux2變成單純的備份主機。而且從你的第二張圖看來也是如此的設定，反而Linux2變成是多餘的，而且讓備份主機可以對外連線好像也不是很安全！另外，你不是固三嗎？按照你上面的設定，你需要有四個對外IP呢！

ADSL <--> Switch <--> Linux1主機 <--> Switch <--> Linux2主機和其他區網內的電腦
　　　　　　| <--> 其他兩台對外主機

**arikchao** · 2004-07-16, 01:06 PM

感謝大家的回應...

之前所提的Linux1主機之後的機器（紅圈內），
其實是另外一組私有網域的主機啦，
不是用真實IP的；

目前調整後的主機架構如附圖：
再請大家幫忙看看是否正確啊！

**arikchao** · 2004-07-16, 01:12 PM

如此調整後，
RH9原則上肩負NAT任務，提供區域網路內電腦上網之用，
也是所謂的三卡防禦主機，
在防火牆的設定中，讓工作站群的電腦可以連外，
如果需要維護編輯對外主機的資料時，
也是在192.168.0與192.168.1兩個私有網段中傳輸，
不會佔用到外部連線的頻寬；

而如果未來新增對外服務的主機時，
因為已經沒有真實IP了，
所以就增加在192.168.1這個網域中，
再由實際對外主機來轉；

主要的兩台對外主機（Win2003 & Centos3.1），
如果需要取用共同的資料庫主機的資料，
或是備份資料到RH9這台主機時，
也都經過內部網路而已；

這是目前的想法，是不是正確的規劃呢？

**arikchao** · 2004-07-16, 01:21 PM

老實說，
之前也試過這樣最簡單的一種配置法，
就是一個區域網段而已，
區網的工作站視所指定的Gateway，
可以自由選擇由Centos主機nat出去，或是由Win2003這台出去，
但是...
不知哪裡設定有錯，區域網路常常出問題，
檔案傳輸老是停頓（甚至是完全不動了），
後來想想這樣設定大概安全性比較有問題，
所以才謀求將工作站群與主機群試著區分開來的...

**mis339** · 2004-07-17, 11:01 AM

我不曉得我想的對不對啦，也許你有你的考量，我只是提一下我的看法，給你做參考！
以你上面的做法，等於有三台對外主機，而且都是直接對外，那你的防火牆是軟體還是硬體？如果是硬體的話那也許還好，但如果都是軟體的話，那你就要裝三套！而且你的三台對外的主機都又可以對內，那意思就是，如果一台被破，那你們家的大門就開了！

我想Linux應該可以做Port Mapping吧，另外Linux的一張網卡是不是也可以有兩個IP位址？如果都行的話，我會採下列的做法。

ADSL <-> Switch(可省略) <-> (真實IP) RH9 (192.168.0.1) <-> Switch <-> 其他192.168.0.X網段
　　　　　　　　　　　　　　　　(192.168.1.1)
　　　　　　　　　　　　　　　　　　　|-> Switch <-> 192.168.1.X網段的電腦

由RH9來做NAT和Port Mapping的工作，你的其他兩個伺服器所提供的服務可以用RH9來轉。

**linux_xp** · 2004-07-17, 02:23 PM

NAT Server 那台
--------------------------------------------
可以同時架設 SAMBA，NAS
擔任備份伺服器，和檔案分享中心

對外的網路卡，假設是eth0，防火牆全部封鎖 (DNS預設會通過)

對內A：僅開放 SAMBA 或 NAS 通過，供備份傳檔使用，以防WEB那幾台伺服器被駭，進而侵入內部網路。

對內B：允許全部流量，因為NAT那台根本是防火牆全鎖，不可能被駭

**arikchao** · 2004-07-17, 04:01 PM

感謝阿斌的回應...

趕快去惡補了一下對iptables防火牆的設定，
參考了李老師的說明：
使用iptables建置防火牆

計畫將網路架構改成（如附圖）這樣。

但是還有一點點疑問：
1.原來RH9這台是Centos這台DNS的Slave，也是DNS備援主機，
現在放在了Centos之後，
雖然計畫中是將真實IP一對一對應過去，
但這樣不會有問題嗎？
2.是不是利用Linux主機架設防火牆管理多個真實IP的狀況下，
都建議使用這種同一張網卡設定多IP的方式呢？

PS.下面那位朋友的網路設定我看得有點模糊...
NAT Server那台的某一張網卡，是與Web Server和Email Server擺在同一個網段內嗎？（實體線路插到同一個Switch）？