问dmz

农夫舅舅

红圈10.1.0.2是外网地址对吗 ?下面绿色圈里有几条规则?2条规则好像一模一样的嘛,to-dst-address这个选项在哪里的?防火墙里没有的嘛,能不能大佬照这个设置好截图给我看看,谢谢了.

ROS来了

把chain选择为dst-nat，则to-dst-address参数才会出现的哦。

就一条设置命令，一条是设置，下面那条命令只是显示配置的结果。

农夫舅舅

chain=dst-nat是dst-address吧！     10.1.0.2到底是不是外网公网地址，这怎么好像是映射啊

ROS来了

农夫舅舅 发表于 2021-10-21 08:49
chain=dst-nat是dst-address吧！     10.1.0.2到底是不是外网公网地址，这怎么好像是映射啊 ...

DMZ也有两种，一种是映射，一种是路由，如果是私网IP必然用映射模式，如果是公网IP一般用路由模式。 你给的例子也是映射模式，10.1.0.2理解为私网地址。
家用小路由器中DMZ中都是映射模式，专业防火墙的DMZ可以设置映射模式或路由模式。

ROS来了

DMZ只是一个笼统概念，不是协议。各厂商有各自的理解和实现方式。

ROS来了

网络安全中首先定义的区域是trust区域和untrust区域，简单说就是一个是内网（trust），是安全可信任的区域，一个是internet，是不安全不可信的区域。防火墙默认情况下是阻止从untrust到trust的访问，当有服务器在trust区域的时候，一旦出现需要对外提供服务的时候就比较麻烦。
所以定义出一个DMZ的非军事区域，让trust和untrust都可以访问的一个区域，即不是绝对的安全，也不是绝对的不安全，这就是设计DMZ区域的核心思想。

ROS来了

另外有的专业路由器都不怎么提到DMZ，因为各种配置组合都可以实现你的DMZ需求。例如ROS的所有命令和菜单中没有DMZ字样。