论坛: 系统集成 标题: 关于DMZ主机的一点疑惑,请大家解答 复制本贴地址    
作者: sky [casablanca]    论坛用户   登录
  小弟近日听人讲起,DMZ是作为内网和外网之间的缓冲地带出现的,可以在路由器里将局域网里的一台工作站设为DMZ主机,如192.168.1.X,而外部用户可以在浏览里输入该DMZ主机地址就可以进入了,这样可以有效提高因特网访问局域网的效率。
    但在下有一点深感不解,假设我现在将我内网的一部机器设为DMZ主机,IP地址为192.168.1.123.但此时恰好有另外一个人将自己的内网机器设为DMZ主机,而IP地址恰好也为192.168.1.123(众所周知私有IP地址可以被不同的用户同时使用)
  现在我在外面访问自己的DMZ主机192.168.1.123,然而此刻已经有2个192.168.1.123DMZ主机,我如何才能定位到自己想要去的DMZ主机?抑或早在设置DMZ主机时可以添加一些唯一的标识符?比如自由端口。
  请各位高人解答。在下不胜感激

地主 发表时间: 06-04-21 16:31
回复: BSDCP [teczm]   版主   登录
DMZ由NA在GW那里设置,不是谁想设置就设置的。

B1层 发表时间: 06-04-22 09:20
回复: sky [casablanca]   论坛用户   登录
什么是GW?
楼主可否讲得详细些?
我有路由器的使用权
用不着向谁请示




B2层 发表时间: 06-04-22 20:49
回复: Rootong [tommy_he]   版主   登录
GW==default-gateway


B3层 发表时间: 06-04-29 10:12
回复: NetDemon [netdemon]   ADMIN   登录
你好像理解错了,是在路由器里将局域网里的一台工作站设为DMZ主机,如192.168.1.X,而外部用户可以在浏览里输入你的外网IP地址就能够直接访问到该DMZ主机。而不是用户输入192.168.1.X能直接访问到你的那台DMZ主机

B4层 发表时间: 06-05-01 23:43
回复: sky [casablanca]   论坛用户   登录
你好像理解错了,是在路由器里将局域网里的一台工作站设为DMZ主机,如192.168.1.X,而外部用户可以在浏览里输入你的外网IP地址就能够直接访问到该DMZ主机。而不是用户输入192.168.1.X能直接访问到你的那台DMZ主机
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
输入外网地址来访问DMZ主机?这行得通么?
比方说我使用的宽带是动态接入方式
如PPPOE之类的
那别人如何访问哪?


B5层 发表时间: 06-05-02 09:13
回复: tuzi [tuzi]   版主   登录
通过某种协议来访问
比如HTTP
FTP


做了DMZ的主机 GW会做映射的
不过 不受GW的保护

外网可直接攻击

B6层 发表时间: 06-05-02 14:17
回复: sky [casablanca]   论坛用户   登录
通过某种协议来访问
比如HTTP
FTP
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
以上两种协议又不是私有的协议啊
我在用
那别人也会用
浏览器如何判断你要到的地方?

B7层 发表时间: 06-05-02 15:39
回复: NetDemon [netdemon]   ADMIN   登录
引用:

输入外网地址来访问DMZ主机?这行得通么?
比方说我使用的宽带是动态接入方式
如PPPOE之类的
那别人如何访问哪?


我可以非常负责的告诉你,世界上只有这个唯一的方法是行得通的。
如果你是动态接入方式,那你就必须告诉你的访问者你当前的IP
你可以用动态域名之类的东西来实现。

天哪,你跟本就不知道DMZ为何物!
因特网要怎么才能访问局域网呢?要通过NAT。
你知道NAT不?NAT是把对外网IP的某个端口的访问,映射到内网的某个IP的某个端口,甚至可以细化到根据不同的协议作不同的映射。
而DMZ则是只要是对外网IP的访问,不管任何端口任何协议,都统统映射到内网的某个IP。对于外网来说,访问你的外网IP实际上并不是访问到你的路由器,而是那个被你设置为DMZ的那个IP的机器。这样当然比NAT有效率(当然也有不足的地方,但这里没必要讨论)。

如果依照你对DMZ的理解,ip地址就不会紧张了,ipv6也没必要出现了。

B8层 发表时间: 06-05-03 04:59
回复: sky [casablanca]   论坛用户   登录
我可以非常负责的告诉你,世界上只有这个唯一的方法是行得通的。
如果你是动态接入方式,那你就必须告诉你的访问者你当前的IP
你可以用动态域名之类的东西来实现。
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
呵呵,谢谢斑竹
你的意思是说访问者在浏览器里输入我当前的外网IP来访问DMZ主机
但一位搞通信的前辈却说可以在浏览里输入私有地址啊来访问DMZ啊
这样行得通么?

B9层 发表时间: 06-05-05 09:47
回复: teczm [teczm]   版主   登录
引用:
rdr on tun0 proto tcp from any to any port 80 -> 192.168.7.6

上面的tun0 是我的外网虚拟接口
192.168.7.6是我的内网web server
这条规则就是说 在tun0接口上把访问我80端口的请求转发到192.168.7.6机器上,这里的192.168.7.6可以理解为DMZ
U see?

B10层 发表时间: 06-05-05 13:26
回复: NetDemon [netdemon]   ADMIN   登录
楼上的理解也不全面看看这个文章吧,相信对大家有所帮助
http://www.20cn.net/ns/wz/net/data/20060506025553.htm


B11层 发表时间: 06-05-06 02:57
回复: Achieve [achieve]   版主   登录
变态小队长说的是端口映射,MD

B12层 发表时间: 06-05-08 12:33

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号