kuolung <kuolung@ms.kuolung.net>
wrote in message
news:8lansh$jkj@netnews.hinet.net...
>
> Song <Song.bbs@bbs.cynix.com.tw>
wrote in message
> news:3bU8eL$8SF@bbs.cynix.com.tw...
> > ※ 引述《ralph.bbs@bbs.ntu.edu.tw
(月之Tragedy)》之銘言:
> > > 在下在公司架設了一部NAT
> > > 用ipchains架設了一個C級的private network
> > > 因為某些需要 所以把公司的mail/www server架設在private
network內
> > > 將預留給server的真實ip設成NAT的alias
> > > 利用ipvsadm將請求server服務的封包經由NAT轉到server內
> > > 也就是說 NAT對外其實是有兩個ip 其中一個
對外宣稱是server
> > > 而server則只給private的ip 所有外界對server的request
其實都是送到NAT上
> > > 如果NAT沒有特別指定 則封包就留給NAT處理
> > > 有用ipvsadm指定的port 才會轉到server上作處理
> > > 不過不管用ipvsadm 或者用ipmasqadm portfw 還是ipchains
> > > 都只能用指定port的方式 將送到NAT特定port的封包轉向
> > > 有沒有任何方法 能夠讓NAT對server的內外ip作binding?
> > > 也就是說 不必特定去指定port
> > > 而是到達NAT 指定要送給server的封包 就直接轉到在private
network內的
> server?
> > > 先謝謝各位的幫忙:)
> >
> > 因為您要對 internet 作服務一定要
real IP,如果不想用指定 port
> > 轉換的方式,DMZ
也可以嘗試,但是您要有足夠的 IP 來切割。
> >
> > 就是在您的 Linux router
上,架三張網卡,一張對外 (internet)、一張對
內
> > (local net)、一張對 DMZ。再加上
Routing table 的設定就可以了。
> >
> > 如果是 ADSL
這麼作就沒什麼意義了,因為 ADSL 最多給 8 個 IP ,如果再
切
> > 割的話,每一個 Subnet 就只剩下 4
個 IP ,再扣掉 Network id and
Broad-
> > cast 就只剩下 2 個,一個又用在
Linux Router 的網卡上,只剩一個可以架
> > Server ... :p
> >
> > 所以至少也要 16 ~ 32 個以上的 Real
IP 來作 DMZ 才有效益。
>
> 有一個也不錯的方法,可以試試,如果您是用 adsl ,因為
ip 不夠,可以不用切
> subnet 的
> 方式,做 DMZ ,在 Routing table 上,直接指定 -host ,
而不使用 subnet 的
話,
> 就還有
> 4 ip 可用
在此一問題上﹐我比較認同 Song 兄的說法。
而 kuolung 兄的提議﹐尚需更多的實作才敢肯定。
弟剛才嘗試了一下將中間的 linux
裝兩片網卡﹐各接另一台主機在兩端。
然後兩個網路卡設在同一個 subnet 之內。
沒錯﹕用 route add -host 指導路由是可以讓中間的 linux
順利和兩端溝通﹐
但遇到 ip forward 請求時﹐卻不知道如何處理了。
換句話說﹐兩端並不能直接溝通﹐當然﹐中間的 ip_forward
是打開的﹐
但不管 ipchains 的 forward 是 ACCEPT 還是 MASQ ﹐均無法做到。
假如這個測試成立。那麼如何用 NAT 連接 ADSL router 和 DMZ 呢﹖
兩邊都使用同一個 subnet 的話﹐恐怕 DMZ
也不能順利將封包丟到 ADSL去﹐
若按 Song 兄的方案﹐進行更細的切割﹐除了要解決 VLSM
路由外﹐
所剩 IP 也不足以提供完整的 solution。
若將 ADSL router、NAT 外部界面、和 DMZ 接到同一個 HUB/Switch
去﹐
那火牆要架在那個位置呢﹖
除非您不想提供火牆保護﹐或是上游可以提供火牆服務。
弟的建議還是回到原提問者(月之Tragedy)之方法﹕ip
alias+ipmasqadm+ipchains。
但是﹐正如弟過往的測試中﹐這樣的架構﹐要提供 many to many
的 MASQ 似乎不行。
(其它的商業軟體沒測試過﹐所以不敢肯定)
恐怕﹐還要用 port
為依據進行服務轉遞。其實這也未必是一個壞處﹕
從火牆的角度來看﹐這可以提供更好的可控性。
曾經有網友提議用 iptable 和 advance routing 來做 NAT﹐但一直礙於懶惰和時間二
因﹐
未能進行深入探討。不知道有經驗的朋友﹐可否和大家談一下經驗呢﹖
又或者有實在個案可以參考﹖如果閣下不想整理﹐弟倒願意幫忙。
反正﹐如果可行的話﹐自會於 study-area 上和大家分享。
p.s. 順道一提﹕弟目前對 study-area
的照顧也日漸無時。如果有同仁熱心參與﹐
是無任歡迎的﹗條件只有兩個﹕1﹐以學習為主﹔2﹐非商業性。
而至於版權和版面﹐則可自由發揮。
(唉﹐這提議弟也講過好幾次了。耐何和者寡﹐而應者無實。怎一個無奈了得﹖)