>
>ex: 我擁有 210.64.40.128 - 210.64.40.254 共128個合法 IP ,
> 架了一個 NAT 二張網路卡 ,
對外 IP : 210.64.40.136 / 對內 IP :
>90.0.0.1 ,
> 所有內部 CLIENT (90.0.0.X)
都透過這台 NAT 出去 Internet (目前用
>ipfwadm已成功) ,
> 現在我要把原本IP在
210.64.40.140 的這台 mail server 改IP為
>90.0.0.140(只用一張網路卡) ,
> Q1 : 我要怎樣做才能讓 mail
serevr 即使在90.0.0.140的虛擬IP也能正常的
>收發internet郵件 ??
應該不成問題吧﹖反正 ARP 和 route 沒問題就可以了。
不過﹐我還沒接觸過 NAT﹐個人猜想是﹕當封包低達火牆的時候﹐應該可以進行
IP 轉
換了吧﹖但不知道是否如此簡單呢﹖(別見笑~~ ^_^ )
既然這樣﹐在火牆那裡﹐連接外面的地址仍是 210.64.40.140
麼﹖那麼連接裡面的地
址就應該是 90.0.0.140吧﹖只要將 forward
設定是否可行呢﹖或者就不用虛擬 IP 了
﹖﹖﹖
> Q2 : 若人員在外利用 modem 撥上
internet , 要怎樣才能連到這台
>90.0.0.140的伺服器
>
連接並存取伺服器上的其它資料庫 ??
這樣您要開放這台 mail
伺服器了﹐因為手上已經沒有機器裝 RH5.2﹐暫時試不了
ipfwadm 。如果用 ipchains﹐應該是這樣吧﹖(但不是很確定﹐終究才淺)﹕
ipchains -A input -p TCP -j ACCEPT -i eth0 -b -s 0.0.0.0/0 -d
210.64.40.140/24 smtp
ipchains -A input -p TCP -j ACCEPT -i eth0 -b -s 0.0.0.0/0 -d
210.64.40.140/24 imap
ipchains -A input -p TCP -j ACCEPT -i eth0 -b -s 0.0.0.0/0 -d
210.64.40.140/24 pop-3
ipchains -A input -p TCP -j ACCEPT -i eth1 -b -s 210.64.40.140/24 -d
0.0.0.0/0 smtp
ipchains -A input -p TCP -j ACCEPT -i eth1 -b -s 210.64.40.140/24 -d
0.0.0.0/0 imap
ipchains -A input -p TCP -j ACCEPT -i eth1 -b -s 210.64.40.140/24 -d
0.0.0.0/0 pop-3
ipchains -A forward -p TCP -j ACCEPT -b -s 210.64.40.140/24 -d 0.0.0.0/0
smtp
ipchains -A forward -p TCP -j ACCEPT -b -s 210.64.40.140/24 -d 0.0.0.0/0
imap
ipchains -A forward -p TCP -j ACCEPT -b -s 210.64.40.140/24 -d 0.0.0.0/0
pop-3
(以上假設您連到外面的界面用 eth0﹐而連接內部的界面用
eth1)
> Q3 : mail server 放在內部的 90網
, 會比在外部的210網安全嗎 ??
>
嗯﹐應該將之放在 DMZ
去吧﹖直接放在內部網路﹐反而另到攻擊者有機可乘。
>我知道 FreeBSD 有 IPNAT 的指令 , 那 Redhat 5.2
要如何做到同樣的功能呢 ?
> 亦即 "210.64.40.140 <==> 90.0.0.140" .
哈哈﹐我剛才正想問您呢﹗
>
> Sorry , 問了這麼多問題 ,
詞不達意的地方請見諒 !! 謝謝!
歡迎交流心得﹐我最怕是誤導了閣下﹐以至幫倒忙啦~~~
如有謬誤﹐務請指正。也很希
望真正懂的高手發言。
>
>CIDR 是什麼 ?
這個 Classless Inter-Domain Routing 我也看不懂﹐在計算 VLSM
(Varible-Length
Subnet Mask) 的時候實在太抽象了。那幾幅在 O'Reilly 之 Managing IP
Networks
with Cisco Routing
裡面的圖解﹐看了數十遍﹐還是太蠢﹐窺不出個所以。
而且支援變動遮罩的路由協定也比較少。做為網管﹐避之則吉﹐不過﹐如果這部份也玩
得過來﹐應該不用再怕碰 router 了吧﹖