Song <Song.bbs@bbs.cynix.com.tw> wrote in message
news:3c11Ii$5Lj@bbs.cynix.com.tw...
> ※ 引述《netmanforever@yahoo.com (網中人)》之銘言:
> > Song <Song.bbs@bbs.cynix.com.tw> wrote in message
> > news:3c0dgT$8aL@bbs.cynix.com.tw...

[ 略... ]

>
>     Netman 兄還是沒有解釋為何要用 ipmasqadm 而非 routing :>
>     ( 沒有質問的意思,請別誤會 )

知道﹐別介意哦  :)

>
>     小弟來猜猜好了,如果有錯誤再請指正。 :)
>
>     應該是因為「安全」因素的考量,導致您將原本的 DMZ 也改成由 ipmasqadm 的
設定
> 方式,所以才會有現在架構的 Script,是嗎?

嗯~~~ 並非完全如此。主要考量還是 routing 的問題。兄台已經在另外一篇討論中花
了不少筆墨﹐相信知道 routing 的複雜性了吧。老實說﹐與眾多網友討論過﹐有兄台
這般對 routing 有 sence 的朋友並不多。(在下並無意對他們不恭﹐只講事實。)
那個 script 曾數度改寫﹐也不是不曾考慮過用 routing 的方式。但功力所限﹐實在
有心無力。而後來加入的 IP 和 defautl route 的檢測功能﹐也是有鑒於網友們對 IP
和 routing 的概念不那麼牢固﹐才補進去的。不過寫得醜醜的﹐程式高手看了肯定會
笑就是了 ~~  :p  本來我還想對那些 Interal_SERVICE_IP 也進行 routing 檢測的﹐
如果 routing 到不了就拒絕輸入之 IP。不過﹐在 net_id 的鑒別功能上﹐還不過關﹐
免強寫了幾行後來也就放棄了。如果有誰願意接手﹐我到非常樂見其成哦﹗我是用 GPL
來公佈的﹐如果您把它改得好好的﹐再包裝一下﹐並認為有市場﹐拿去賣錢我也不反對
就是了(不過﹐最好先讀一讀 GPL 的條文)。

好了﹐扯遠啦。讓我們回歸正提吧﹕

假如 DMZ 是使用一個可路由 subnet 的話﹐當封包到達火牆﹐我們只需用 ipchains
的 rules 來檢測進出封包﹐用界面、流向、協定、來源、目的地、服務埠口 等限制來
決定如何處理這個封包。如果路由是通的﹐那麼 forward 那裡﹐可以用 MASQ 也可以
用 ACCEPT 。不過﹐ ipchains 的 rules 卻是有順序。只要找到符合的 rules 就不再
檢查下去了﹐否則就看 Policy 怎麼定。這樣的話﹐也無需用 ipmasqadm 來轉址了﹐
看 ipchains 是否放行就可以。但 routing 的設定卻是令人擔心的﹐在另篇關於 NAT
所討論的題目中﹐兄台以前也曾指出過 IP 不夠用的弊端。有些朋友不明所以﹐將
linux router 連接到 ADSL 和 DMZ 的界面都設到同一個 subnet 中了﹐這在 routing
中顯然成問題。
(這點不要再討論了吧﹖有興趣﹐可以找舊信﹐我記得有討論過的。)
好了﹐除了 IP 不夠用、多界面在同一個 subnet 的問題外﹐ADSL 對切割子網的敏感
性(請參考另篇討論)﹐還有 script 的複雜程度﹐這些因素﹐都讓我僅選擇了一個私有
網域來做 DMZ。明眼人如 song 兄是可以看出我所指的 DMZ 有詞不夠貼切﹐但許多朋
友未必體察到其中的差別(我是根據以往與網友們的討論心得而判斷的)。所以我就在前
面的討論中加入一個註解﹐希望不會誤導了那些不明所以的朋友。不知道兄台可知道弟
的苦心﹖(我會對所說的負責﹐只是怕有時候越描越黑而已。)

>
>     關於 study-area 網站的呼籲,小弟才疏學淺不敢回應,但是卻有一點想法,不

> 不快 :) :如果能夠先架構出組織、流程,如:設出「總編輯」,「編輯」,「美
工」
> ( 初期可能用不上「網管」 :) 及上傳的流程 ( 以 web base 為主 )。先「按職尋
人」
> ,日後再「因人設職」 :) 有一個基本架構,其他有心人才好參與吧,您以為呢?
>

哦﹐Song 兄果然有組織智慧﹐像我這種光有熱情而沒頭腦的﹐還真不會這樣考慮哦﹐
謝了﹗
不過﹐在兄的引導下﹐剛纔弟還是想了一下下﹕
1﹐網站不是自己的(很感謝中興大學和成功大學提供空間﹗)﹐不知道是否有所限制。
2﹐弟的程式能力甚低﹐什麼 cgi ﹐PHP 一竅不通。要弄能成那樣專業﹐正是有待熱心
朋友幫忙和參與。
3﹐所列職位借為空職﹐有名無實﹐更沒薪俸酬勞﹐有興趣者借可取而冠之。
4﹐弟的興趣是技術探討﹐對於行政或管理﹐實在有些感冒。如果誰願意來做盟主﹐弟
將 study-area 拱手相讓﹕版面版權皆可另寫﹐但條件是﹕必須維持網站的宗旨(非商
業性和以學習分享為主)
5﹐假如上面所談皆難落實﹐無論誰願意寫一點文章﹐哪怕是一小段﹐是自己的經驗所
談(並非到別的網頁 copy & past)﹐又不計報酬的話﹐可以丟給小弟 upload。假如文
章篇幅大﹐有條例﹐可以另辟專欄﹐否則﹐暫時會放到“學習心得”去。而版面和版
權﹐作者都可以保留。(否則會按“寫在前面”的版權聲明為依據)

Song 兄﹐別謙虛了﹐有興趣參與嗎﹖弟在這裡誠意邀請閣下加入(或接管) 目前還不很
成氣候的 study-area。假如有其它朋友有興趣的﹐歡迎隨時聯繫小弟
netmanforever@yahoo.com 。謝謝﹗