誰會Postfix/SASL <mole.bbs@bbs.im.tku.edu.tw>
wrote in message
news:3e77Lh$HLR@bbs.im.tku.edu.tw...
> 【 在 nokia@bbs.ks.edu.tw
(nokia) 的大作中提到: 】
> : 想了解一下NAT到底是一個server還是只是個統稱.例如我在電腦上插
> : 兩片網路卡,打開ip_forwarding的功能,再使用ipchains來做封包轉送,這
> : 樣是否也能叫做NAT.
> : 另外DMZ的功能是再插一片網路卡,把主機架在防火牆後面,使用實體
> : IP.若是我將主機架在內部網路使用虛擬IP,再透過封包轉送的方式對外
> : 提供服務,這樣是否也能算是DMZ.
> NAT跟DMZ應該都只算是一種概面而已吧?~
>
>
可以用不同的方式作到NAT,DMZ的效果,個人感覺...
>
> DMZ裡面不一定要用public
ip才叫DMZ.所以你做後說的那個也算是DMZ吧.
>
說的沒錯。
NAT 基本上分兩種﹕Source NAT 和 Destination NAT。前者是將封包的來源地址轉換
掉﹐而後者則將目的地地址換掉。
而在實作 NAT 的時候﹐也有兩種﹕靜態和動態。
Linux 的 ipchains
程式﹐如果以在下理解﹐它是一個封包過濾程式﹐不能算是
NAT。
但﹐ipchains 其中有一個 Masquerade 的功能﹐則可以提供‘動態的
SNAT’﹔如果要
做 DNAT﹐那就需要另外一支程式﹕ipmasqadm 。
而在 Linux 的 2.4.x 核心裡面﹐已經有一程式叫 iptables﹐它將會是
ipchains 的
替代產品﹐能同時處理 DNAT 和 SNAT﹐而且功能組合要比 ipchains
+ ipmasqadm 強
得多。
關於 iptables 的一些簡單技巧 ﹐可以參考如下網頁的 HOWTO﹕
http://pds.nchu.edu.tw/study_area/tips/
關於 DMZ ﹐沒什麼特別﹐只是一個網路設計(規劃)技巧而已。通常是用來作為外部網
路和內部網路之間的邊際網路﹐裡面的主機可以用來服務外部網路﹐但安全保護性不如
內部網路那麼強烈。有時候﹐在安全設計上﹐DMZ
裡面的主機被視為‘有可能犧牲’性
質的。設計技巧因環境、因功力不同而各異﹐很難有一個標準範例。
關於 DMZ﹐倒可以參考 O'Reilly 的“構建防火牆”一書。其中對許多常用的
internet
服務特性﹐也有非常詳細的描寫。如果想學習網路安全技巧﹐在下非常推薦
此書。