誰會Postfix/SASL <mole.bbs@bbs.im.tku.edu.tw> wrote in message
news:3e77Lh$HLR@bbs.im.tku.edu.tw...
> 【 在 nokia@bbs.ks.edu.tw (nokia) 的大作中提到: 】
> : 想了解一下NAT到底是一個server還是只是個統稱.例如我在電腦上插
> : 兩片網路卡,打開ip_forwarding的功能,再使用ipchains來做封包轉送,這
> : 樣是否也能叫做NAT.
> : 另外DMZ的功能是再插一片網路卡,把主機架在防火牆後面,使用實體
> : IP.若是我將主機架在內部網路使用虛擬IP,再透過封包轉送的方式對外
> : 提供服務,這樣是否也能算是DMZ.
>         NAT跟DMZ應該都只算是一種概面而已吧?~
>
>         可以用不同的方式作到NAT,DMZ的效果,個人感覺...
>
>         DMZ裡面不一定要用public ip才叫DMZ.所以你做後說的那個也算是DMZ吧.
>


說的沒錯。

NAT 基本上分兩種﹕Source NAT 和 Destination NAT。前者是將封包的來源地址轉換
掉﹐而後者則將目的地地址換掉。
而在實作 NAT 的時候﹐也有兩種﹕靜態和動態。

Linux 的 ipchains 程式﹐如果以在下理解﹐它是一個封包過濾程式﹐不能算是 NAT。
但﹐ipchains 其中有一個 Masquerade 的功能﹐則可以提供‘動態的 SNAT’﹔如果要
做 DNAT﹐那就需要另外一支程式﹕ipmasqadm 。

而在  Linux 的 2.4.x 核心裡面﹐已經有一程式叫 iptables﹐它將會是 ipchains 的
替代產品﹐能同時處理 DNAT 和 SNAT﹐而且功能組合要比 ipchains + ipmasqadm 強
得多。

關於 iptables 的一些簡單技巧 ﹐可以參考如下網頁的 HOWTO﹕
http://pds.nchu.edu.tw/study_area/tips/

關於 DMZ ﹐沒什麼特別﹐只是一個網路設計(規劃)技巧而已。通常是用來作為外部網
路和內部網路之間的邊際網路﹐裡面的主機可以用來服務外部網路﹐但安全保護性不如
內部網路那麼強烈。有時候﹐在安全設計上﹐DMZ 裡面的主機被視為‘有可能犧牲’性
質的。設計技巧因環境、因功力不同而各異﹐很難有一個標準範例。

關於 DMZ﹐倒可以參考 O'Reilly 的“構建防火牆”一書。其中對許多常用的
internet 服務特性﹐也有非常詳細的描寫。如果想學習網路安全技巧﹐在下非常推薦
此書。