Song <Song.bbs@bbs.cynix.com.tw>
wrote in message
news:3clBag$6KV@bbs.cynix.com.tw...
>
本來想等將細節想清楚後,再寫一篇規劃分享 :p
>
但是沒有環境可供測試。乾脆來一篇規劃分想好了 :)
>
> ----
> 有位網友問我,能否將所有的 IP
都放入 DMZ 中?
> 弟回答他說,用 Proxy ARP + route add -host
的方式可以作到,
> 但是大一點的網路,設定起來很麻煩!
> 當然,還是有 2 個 IP 流落在外 :p
> ( 一個在 Router,一個在 NAT 對外的介面
)
>
> 弟就想,難道沒別的方式了嗎?
>
> ----
>
> +--------+
eth0+-----+eth1 +----
> ----+ Router +----------+ NAT +---------+ DMZ
> S0 +--------+ E0
+--+--+ +----
>
|eth2
>
+------+-------+
>
| Private Area |
>
> 在上圖的架構下,通常 E0
已經是用真實 IP 了,所以 eth0 勢必也要
> 使用真實 IP
才行。但是我們知道,一般 Router 上設定 Routing 時
> 是指定介面 (如 E0, S0, S1... 等),不管介面上的
IP 是否是真實或
> Private IP。
>
> 譬如弟的 Router 上有 Routing 的設定為
> ip route 192.168.1.0 255.255.255.0 Serial0
> ip route 192.168.2.0 255.255.255.0 Serial1
>
> 所以弟想,如果 E0, eth0 所處的 Network
用一組 Private network
> 來設定的話,那麼所有的真實 IP
就可以都放入 eth1 與 DMZ 的區域
> 裡頭去了。
>
> 而搭配的措施包括 Router 上的 Routing
設定 (以上圖為例)
> ip route x.x.x.0 255.255.255.0 eth0 <==
eth0 要用設定的 IP 取代
> (假設取得的真實 IP 為 x.x.x.0/24 )
>
> NAT 上的設定就省略不提了。
>
> ----
> 不知道是否已有先進是如此的作法?
> 或是此種作法是否可行?
>
> 還請先進們不吝指教,謝謝。
>
不難看出﹐Song 兄的確是個好學不倦之人﹐贊﹗
至於前面的構思﹐弟認為應該可行的。
只要外面網路知道如何將 x.x.x.0/24 那段網路的路由送至 router
就沒問題。如果您
喜歡﹐再多隔幾個 hop 也應該可以﹐只要 route table
設好就行。
不過﹐和您一樣﹐我也沒機會實作﹐也來紙上談兵一番吧。
p.s. 不知 song 兄有打算到 network 版去問問嗎﹖(連同上一篇回應文章)