Allen Chen <del_me_pkchen@gcn.net.tw>
wrote in message
news:900a91$58ec$1@member.gcn.net.tw...
>
> 網中人 <netmanforever@yahoo.com>
wrote in message
> news:90038j$sop$1@koala.ks.xlinux.com...
[
>
> 呵呵! 難怪了!
>
> BTW, 在 fw 這支 script 裡, 在下發現, 不管 option 是 "i"
或 "l", 都會 run
> masq_rules,
> 也就是不管 DMZ 是 real or private ip, 都會執行下列的 MASQ:
>
> .
> .
> ipchains -A forward -p ICMP -s $DMZ_NET -j MASQ
> .
> .
> ipchains -A forward -j MASQ -s $DMZ_NET -d $ALL
> .
> .
>
> ㄟ! 不是 DMZ 是 real ip 就 forward, 是 private ip 才 MASQ 嗎?
>
閣下說的沒錯﹐只是 fw 裡面的 NAT option ﹕
"1, All services are forwarded to internal IPs. (Press 'f' key)"
"2, All services are ran on internal IPs.
(Press 'i' key)"
"3, All services are ran on NAT locally.
(Press 'l' key)"
在 i 和 l 選項下﹐我把 DMZ 視為 private IP 了﹐因為﹐ i
的情形是要開動
ipmasqadm 功能﹐既然如此﹐沒必要用真實 IP﹐而 l
的情形則很難說 DMZ 使用哪樣
的 IP﹐不過這選項是把所有服務都跑在 NAT 主機上面了﹐DMZ
是否要設似乎多餘。
這支 script
目前還很不成熟﹐尚未能適應所有的環境﹐如果您會如何修改
script 就
最好了。坦白講﹐這 script 是給那些對 NAT
不是很熟識﹐一時之間未必弄得起來的
朋友而設計的。假如閣下對 NAT
以有一定認識﹐我倒推薦您修改 ipchains.nat 那支
script 來配合自己的實際之需。
弟也覺得 fw script
其實並不很靈活﹐只是沒什麼時間﹐也沒能力進行修改。例如﹐
我很想加入一些功能﹐讓用戶能夠選擇哪些服務是否要執行﹐在哪裡執行﹐哪些需要
NAT﹐哪些需要 forward﹐DMZ
的判斷和處理﹐內部伺服器的連線檢測﹐等等。更有可
能的話﹐還可以參考 song 兄以前 post 的 proxy arp
設計以適應更靈活的網路環
境。只是... 唉﹐真的沒此能耐啦~~~
假如閣下有空修改 fw 那 script﹐讓之更加好用和方便﹐是無限歡迎的﹐當然了﹐修
改完別忘了回來和大家分享分享哦~~~