Вот, господа, понадобилось оpганизовать DMZ.
Дано: белая сетка /29, локалка, pоyтеp (FreeBSD 4.8), 2 виндовых сеpвеpа, 2 юниксовых.
Hадо pеализовать такyю штyкy:

Интернет
      |
Роутер------DMZ(win server, unix server)
      |
Локалка (win server, unix server)

Соответственно, надо чеpез pоyтеp пpобpосить pеальные ip на dmz-сеpвеpа, чтоб фаеpволить весь тpафик с/на них. Естественно, они должны быть видны из инета. Также на dmz-сеpвеpах должны быть адpеса и из локалки. Канал в инет физически пpедставляет собой витyю паpy, но пока что вместо pоyтеpа она банально воткнyта в свич.

Бyдy очень pад любым сообpажениям по поводy того, как сию задачy более пpавильно pешить.

почему-то на всякий случай захотелось определения DMZ ;) Поскольку спасение утопающих, как известно, дело рук самих утопающих, захотелось - получаю (в своем не очень вольном переводе): То есть по сути DMZ не относится ни к наружной, ни ко внутренней сети, представляя собой буфер между ними. А у Вас на схеме изображен некий апендикс :( И еще - что за серверы обозначены в локалке? и что реально будет на серверах DMZ? Может быть достаточно будет передачи запросов (скажем HTTP) с наружной карточки firewall-а на соответствующие службы этих самых DMZ-серверов? Боюсь, без всех этих уточнений советов придется ждать долго :o

Metaller
Классическая схема создания DMZ, приводимая в литературе выглядит так:

                                     Интернет
                                           |
                        Внешний роутер + файервол
                                           |
                                         DMZ
                                           |
                        Внутренний роутер + файервол
                                           |
                                   Локальная сеть

mar
В данном случае именно этот аппендикс и требуется. Насчет того где какие машины - сетка сия внутри веб-девелоперской конторы и надо им поиметь один виндовый и один юниксовый сервер в локалке для разработки, а также винды и юникс, видные из интернета, для показа готовых проектов. Если бы кроме этого ничего не требовалось, то статический нат думаю, спас бы отца русской демократии. Но в дмз должна стоять еще и машина шефа, у которого без реального ip, НЕ ходящего через нат, не хочет работать по-нормальному emule.

то есть проблема по сути не в DMZ, а в emule? :)
тогда уже совсем не понятно  :o Насколько я понимаю, из статей этот зверь использует по умолчанию 4662 порт. Ну так откройте его на firewall-е (по TCP b UDP) и все. Если нужен доступ извне ко внутренним (ie аппендиксным :)) машинам, то используйте портфорвардинг (в том числе и на этот самый 4662-ой порт).

реальных ip как вижу маловато а значит еще больше разбивать сетку на подсети нецесообразно. я бы использывал nat не маскарад а нормалный нат и портфовардинг. люди в подсетках даже и незнали что пользуются фейковыми адресами. внутри локалки и апендикса обычными фейковыми адресами. а наружу и снаружи во внутрь реальными адресами причем каждому свой реальный адрес. а кому это не надо те просто через маскарад в инет ходили правда их уже не видно будет.:kruto:

Belansky
В классической схеме все примерно так и выглядит, но на самом деле два роутера абсолютно не обязательны, все можно реализовать и на одном, главное чтобы выполнялись опредделенные правила фильтрации пакетов.