網中人 <netmanforever@yahoo.com> wrote in message
news:900i58$vsn$1@koala.ks.xlinux.com...
>
>
>
> Allen Chen <del_me_pkchen@gcn.net.tw> wrote in message
> news:900a91$58ec$1@member.gcn.net.tw...
> >
> > 網中人 <netmanforever@yahoo.com> wrote in message
> > news:90038j$sop$1@koala.ks.xlinux.com...
>
> [
>
> >
> > 呵呵! 難怪了!
> >
> > BTW, 在 fw 這支 script 裡, 在下發現, 不管 option 是 "i" 或 "l", 都會 run
> > masq_rules,
> > 也就是不管 DMZ 是 real or private ip, 都會執行下列的 MASQ:
> >
> > .
> > .
> > ipchains -A forward -p ICMP -s $DMZ_NET -j MASQ
> > .
> > .
> > ipchains -A forward -j MASQ -s $DMZ_NET -d $ALL
> > .
> > .
> >
> > ㄟ! 不是 DMZ 是 real ip 就 forward, 是 private ip 才 MASQ 嗎?
> >
>
>
> 閣下說的沒錯﹐只是 fw 裡面的 NAT option ﹕
>
>  "1, All services are forwarded to internal IPs. (Press 'f' key)"
>  "2, All services are ran on internal IPs.         (Press 'i' key)"
>  "3, All services are ran on NAT locally.          (Press 'l' key)"
>
> 在 i 和 l 選項下﹐我把 DMZ 視為 private IP 了﹐因為﹐ i 的情形是要開動
> ipmasqadm 功能﹐既然如此﹐沒必要用真實 IP﹐而 l 的情形則很難說 DMZ 使用哪

> 的 IP﹐不過這選項是把所有服務都跑在 NAT 主機上面了﹐DMZ 是否要設似乎多餘。
>


抱歉﹐不對不對~~﹗

剛纔檢查了一下 fw 那支 script﹐在 i 選項下﹐是沒有用 ipmasqadm 的。 Allen 兄
指出的問題很正確﹐的確無須 MASQ 那裡的 DMZ 。不過﹐因為針對的封包是來自 DMZ
的﹐換句話說﹐封包是從 DMZ 經 NAT 主機出去﹐這情形下﹐就算設了 MASQ 也能讓大
部份連線順利達成。再且﹐針對那些連線到內部 IP 的服務﹐都有相應的規則寫在前
面﹐對那些封包來說﹐因為規則順序的關係﹐應該在 MASQ 之前就被執行了。因此﹐並
不影響服務程式的運作﹐除非﹐服務程式設計上需要建立其它連線來配合﹐且未能察
覺、漏了加入相應規則。

不過﹐要嚴格來設﹐是應該分開設定才是。這部份的修改﹐相信我還有能力﹐等我有時
間再做吧﹐現在恐怕無暇顧及了。