末日無極 <Doomday@bbs.ee.ntu.edu.tw>
wrote in message
news:3bj7a5$HDP@bbs.ee.ntu.edu.tw...
> ※ 引述《"網中人" <netmanforever@yahoo.com>》之銘言:
> : 唯一的理由 <pat.bbs@chang2.ee.ncku.edu.tw>
wrote in message
> : news:3bidHh$5O8@chang2.ee.ncku.edu.tw...
> : > 請您把 NAT server 所規劃使用的 IP
> : > 與 local client 所使用的 ip 詳細說明一下
> : >
我想這樣應該才能有比較多資訊可以判斷是那兒出問題..
> : 應該沒那麼複雜啦﹐在 NAT 上執行下面命令看看﹖
> : modprobe ip_masq_ftp
>
> 小弟目前也在架NAT , 有些問題想請教您. 我目前接ADSL, 有5
個IP, 範圍從
> 211.20.240.170 - 211.20.240.174 , submask=255.255.255.248, gateway=
> 211.20.240.169 . 我的NAT 架構如下:
>
> Internet
> |
> |
> ADSL
Modem(Gateway)211.20.240.169
> |
> |
> +------+-------+
> | eth0
| DMZ Area
> |211.20.240.170|
|
> |
| |
> |
|eth1 211.20.240.171
> |
+------+----------+
> |
| WWW MAIL
211.20.240.173
> | Linux server |
211.20.240.172
> |
|
> +------+-------+
> |eth2
192.168.0.1
> |
> Internal Network 192.168.0.2-X
>
> 小弟也下載你的script修改使用, 內部網路有達到預期效果,
但DMZ 區卻無法
> 使用, 被鎖死在那裡, 外面看不到DMZ , DMZ
也無法與其他網路溝通, 等於被
> 孤立起來, 不知有何良見可以指導我一下?
> ?
這是 routing 的問題﹐於 NAT 無關。
因為您的 NAT 上面有兩個界面在同一個 subnet 裡面了。
將 DMZ 改用其它 subnet 吧 (例如 192.168.168.x)。馬上好﹗
還有﹐我剛才有修改了 fw script ﹐記得下載哦~~
祝順利﹗
p.s. 會您的信又退回來了﹐如果以後有問題來信﹐最好別用
bbs 信息。謝謝。
另外在附上一篇與網友的討論﹐希望有助理解﹕
關於 adsl
的切割﹐弟還是有所保留的。因為經過切割之後﹐被切割子網都只剩一台主
機可以用而已。
而且您別忘了 gateway 上的 netmask
不容易修改﹐因為還要牽涉到上游 router 的修
改。有鑒與此弟覺得 33 到 35 這段就不要切了﹐讓它繼續用 29
bit mask 吧。
然後另一段 36 到 39
可以進行再切割﹐但正如您所知道的﹐就剩下 37 和 38 可以用
而已。沒錯﹐您可以用這兩個 IP 給 DMZ 用﹐但卻只能裝一台
server 而已﹐因為其
中一個 IP 一定要給 FW
用。但您有沒想過從外面的封包進來的時候﹐如果到達 DMZ
呢﹖下面讓我們模擬一下﹕
internet 上可以將封包路由到 ISP﹐然後 ISP 可以將封包路由到
33 那個 router ﹐
除非您能修改 33
上面的路由表﹐否則﹐它就不知道如何將封包丟給 DMZ 了。而
33
上面的管理密碼﹐是 ISP
設定的﹐除非他們給您﹐否則您就要破解才可以進入修改。
Okay﹐您現在明白到問題所在了嗎﹖
而 DMZ 是否要分在另外一個 subnet 內﹖您自己算一算 FW
的路由就知道為什麼要如
此。(tips﹕如果兩邊都在同一個 subnet﹐封包應該丟哪個界面呢﹖)
假如您覺得 ipmasqadm
可以滿足您的需要﹐那麼﹐干脆用另外一個私有 subnet 分配
給 DMZ 好了。