無 <sch.bbs@cis.nctu.edu.tw> wrote in message
news:3clbVF$GLL@bbs.cis.nctu.edu.tw...
> ==> 在 "網中人" <netmanforever@yahoo.com> 的文章中提到:
> > Song <Song.bbs@bbs.cynix.com.tw> wrote in message
> > news:3clTe4$50I@bbs.cynix.com.tw...
> > 在傳進
> > >     無兄所言甚是,Private Area 的部分確是弟一時不察,如改於下
> > >         +--------+      eth0+-----+eth1     +----
> > >     ----+ Router +----------+ NAT +---------+ DMZ
> > >      S0 +--------+ E0       +-----+         +----
> > >                                                |
> > >                                         +------+-------+
> > >                                         | Private Area |
> > >     將 Private Area 的部分接到 DMZ 中之另一台 NAT 主機上,由其
> > >     負責 Private Area 的 ip_masq 的部分。
> > >     如此能通否?
> > 嗯﹐Song 這樣的物理搬遷其實沒差啦﹐NAT 動作可以在裡面的 DMZ上、中間的
NAT
>
^^^^^^^^^^
> >  上、以及最外面的 router 上做﹐都是可行的。只要能夠針對性的選擇 private
網路
> > 封包來改寫 Source Address 就可。
> > 不知道是否這樣呢﹖
>
> 1.
> tranlation 就是不能在中間那個 NAT 上做, 因為 eth0 是假的, 除非
> 那個 Router 也做 translation. 但是如果 Router 要做 translation
> 的話, 那中間那個 NAT 就不用做 translation 了, 因為這樣做兩次
> translations 是多餘的. 結論就是 translation 不能在中間那個 NAT
> 上做, 因為做了也是白做.

的確如此﹐多謝無兄這裡的澄清﹗
一時沒仔細考慮在誤會了 Song 兄和無兄的意思。難怪 Song 兄要將 NAT 搬至 DMZ
 去﹐就是要利用那個真實 IP 的緣故。弟實在有點後知後覺了﹐抱歉抱歉﹗

至於這樣的改變﹐兩位也於另文討論過了。基本上我認為 Song 兄的做法是可行的﹐而
無兄的這點建議﹕
> Router: ISP 的事
> eth0:   x.x.x.1
> eth1:   192.168.0.0/24
> eth2:   192.168.1.0/24
> 然後經過 NAT 做下列轉換:
>         x.x.x.? <--> 192.168.0.?        (DMZ)
>         x.x.x.1 <--> 192.188.1.?        (translation)

弟則持這樣的看法﹕
我們這個討論無可避免的要修改 router 的設定﹐既然 DMZ 和內部網路都要做 NAT ﹐
那何不全都在 router 上做﹖為什麼還要另外指定一台機器做同樣的事情﹖除非是這個
router 不能做 NAT 啦。

不過﹐如果我沒誤會﹐Song 這裡應該只討論我們是否能將真實的 IP 全部移到 DMZ
 去。而 NAT 的設定﹐Song 兄原本是這樣說的﹕

“NAT 上的設定就省略不提了。”


[ 其餘略... ]