DMZ配置疑問

r66521 · 发表于 2009-1-29 14:10:46

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 r66521 于 2009-1-30 02:36 编辑

DMZ配置疑問
各位老大勞煩你們了!
http://bbs.routerclub.com/viewthread.php?tid=7741&page=1
我照著上面這位大哥配置DMZ卻~DMZ下伺服器都不能連上線!(對外和對區網)

我DMZ網段192.168.2.0/24
LAN網段 192.168.1.0/24
我是用ADSL非固定IP的上網~
我是用ros2.96
以以下是我經過修改的SCRIPT
/ip firewall nat> add action=nat dst-address=192.168.1.33/32 to-dst-address=192.168.2.1

如圖環境:
ＡＤＳＬ－對外
ＤＭＺ網段　１９２。１６８。２。０／２４
ＤＭＺ網關：１９２。１６８。２。１
ＬＡＮ網段　１９２。１６８。１。０／２４
ＬＡＮ網關：１９２。１６８。１。１

江中的小鱼 · 发表于 2009-1-29 22:31:27

我不理解
你那段代码说的是
把所有目标地址为192.168.1.33的数据包全部转发到192.168.2.1
有无拓扑图给我看看。

r66521 · 发表于 2009-1-30 02:35:37

DMZ配置疑問
各位老大勞煩你們了!
http://bbs.routerclub.com/viewthread.php?tid=7741&page=1
我照著上面這位大哥配置DMZ卻~DMZ下伺服器都不能連上線!(對外和對區網)

我DMZ網段192.168.2.0/24
LAN網段 192.168.1.0/24
我是用ADSL非固定IP的上網~
我是用ROS2.96
以以下是我經過修改的SCRIPT
/ip firewall nat> add action=nat dst-address=192.168.1.33/32 to-dst-address=192.168.2.1

如圖環境:
ＡＤＳＬ－對外
ＤＭＺ網段　１９２。１６８。２。０／２４
ＤＭＺ網關：１９２。１６８。２。１
ＬＡＮ網段　１９２。１６８。１。０／２４
ＬＡＮ網關：１９２。１６８。１。１

jackzmeng · 发表于 2009-1-30 02:35:38

dmz其实就是dst-nat的一种应用

江中的小鱼 · 发表于 2009-1-30 09:43:52

做脚本之前请先备份系统。这条配置有一定可能性会让你无法登陆WINBOX

为何是192.168.1.33呢？
应该这样设置比较合理：
chain= dst nat
interface = wan
action = dst nat
dst add=192.168.2.1
dst port = 0-65535

这样所有从外网WAN进来的流量都会从ROS转发到192.168.2.1了

r66521 · 发表于 2009-1-30 10:49:59

chain=dstnat in-interface=HINET action=dst-nat to-addresses=192.168.2.1
to-ports=0-65535

這樣對嗎!? HINET是我對外端口!可是也上不了網

江中的小鱼 · 发表于 2009-1-30 11:05:17

如果只是做WEB服务器的话
TO PORT=80
就可以了
要什么端口。加什么规则
全加的话。当然上不了外网。

江中的小鱼 · 发表于 2009-1-30 11:07:04

FTP是21~23好像。。忘记了

stone2009 · 发表于 2009-2-1 21:32:17

倒，人家现在发表的问题是动态IP的，而原创的是固定IP的，晕倒，说来说去。
怎么DMZ啊？？
楼主，你可以试一下用动态域名解析的软件，台湾佬。这样就可以DMZ了。

stone2009 · 发表于 2009-2-1 21:33:50

你用DMZ远程管理WEB和FTP？？？？
有必要吗？！~~~~~~~~
用端口去联，安全些。
台湾比较喜欢用远程协助和pcanywhere，唉。

cwjzjr · 发表于 2009-2-3 11:28:24

发现ROS根本不能用这种DMZ，主要问题是1、目前很多人用的chain=dstnat in-interface=HINET action=dst-nat to-addresses=192.168.2.1 to-ports=0-65535 这种方式是端口映射，如果是WEB、FTP等服务，只能取得你的路由器本地IP地址，无法取得对方的上网地址。2、而精华区的http://bbs.routerclub.com/viewthread.php?tid=7741&page=1的方式，即是要两个外网地址，从一定意义上说，这种只是特定的端口映射。不知道，有谁真正有ROS的DMZ方式。

zhjchina · 发表于 2009-2-3 12:08:58

发现ROS根本不能用这种DMZ，主要问题是1、目前很多人用的chain=dstnat in-interface=HINET action=dst-nat to-addresses=192.168.2.1 to-ports=0-65535 这种方式是端口映射，如果是WEB、FTP等服务，只能取得你的 ...
cwjzjr 发表于 2009-2-3 11:28

登录/注册后可看大图

笑笑，不说话

omni · 发表于 2009-2-17 23:38:38

研究ROS配置DMZ几天了，这种映射全部端口到某一IP的方法只能是做到像DMZ，和DMZ的真实意义差的远呢。继续等待高人指点。我也是非固定IP的企业ADSL，想的头都大了，也不晓得怎搞

nobita215 · 发表于 2009-11-27 13:57:28

顶起来啊。我也需要。。。。。。。。。。

账号		自动登录	找回密码
密码			注册

[其它] DMZ配置疑問

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

RE: DMZ配置疑問補圖