請問DMZ是否可以導向ROUTER ?
記得在家用級的DMZ大多是指定外網連內網中特定SERVER，以確保內網用戶的資料安全。
那假使我將外網連入ROUTER(NAT 功能開啟)。
NAT ALG 也是用於外網連內網時，可以穿越NAT與用戶端相連。
針對9Z與vaper的問題，我再解釋清楚一下。
HW NAT 運作的原理就是為了彌補家用級路由器本身CPU效能不足的問題，延伸出使用另外的晶片或是特定指令集來處理特定表頭的數據，以減緩CPU的loading，以達到提速的效果。
一般router的管理，都會經由CPU作處理，但HW NAT由於會繞過 CPU致使原本設定ACCESS ROULES（ALG)會變無效化。
所以在使用ping/tracert 時，未開使用HW NAT經由硬播得到ip端口出去，但是HW NAT開啟後metric會多了一個。
DMZ（非軍事區）目的就是將外網連內網導入獨立區（通常是服務主機且端口全開），以保障內網資訊安全。而關於這點我確實有點天馬行空，因爲這樣導入的話，有點畫蛇添足。但家用級別DMZ和企業級的DMZ還是有差別的。

應該是無效的DMZ不是拿來確保安全的DMZ會使安全性變糟

了解…

我對ALG不熟，看了一下，應該是讓NAT能處理「把server的ip,port藏在應用層的網路協議」算是NAT的應用層版本？不過可以預想普通的NAT硬體加速不能處理+NAT效能下降，大概。

HW NAT開啟後，ALG 就等於無效。因為沒有過CPU

DMZ導向router跟沒有設DMZ也沒有設port80的導向有87%像

推樓上 Router開硬撥外界當然先連到Router啊不懂原Po到底在公蝦小...另外不是ALG無效 是HW NAT會無效化只要韌體運作正常 需要丟給CPU處理的都一定會丟 放心原Po說的ALG應該單純只是NAT穿透技術的一種而已支援此技術的程式可以完成在特定協定上的位址和埠轉換理論上HW NAT應該影響不大

同樓上，原po犯了新手常見錯誤，只知道功能不知原理導致有很多天馬行空的想法

可是，實務上，家用級HW NAT開啟後，外網連到ROUTER後https://i.imgur.com/pvhhcjC.jpg

繞過CPU...http://i.imgur.com/QBRyT3n.jpg另外不會編輯文章的話用推文就好家用產品沒那麼佛心還給你多顆硬體加速晶片 這個要商用等級才有的我看你的Tracert圖很正常啊 什麼叫做多了一個？！

開了HW NAT 會變成這樣https://i.imgur.com/mh7Cp7i.jpghttps://goo.gl/yQSxh6這篇文章應該說明就很清楚了。

1.後續增加的文章不要放回內文中，麻煩標記一下，不然誰看得到啊？2.DMZ是怎麼保障內網安全的這我還是想不透？把設備丟到外網去怎麼會變安全啊？誘導彈嗎？DMZ有分家用企業?

atrix 家用和商用是指設備。dmz 是指(外網連內網某一個服務主機)沒有直接與內網連接，而我原本的作法是不對的。

DMZ我懶得講惹我來稍微說一下HW NAT你可以把他當作類似是機場的快速通關當今天沒有HW NAT的時候 每個人都要依照規定來做安檢如果CPU速度不夠快 安檢的人力不足時整個NAT throughput轉發速度自然就會被拉下去HW NAT就好比是用機器來快速通關CPU安檢的人力Loading自然就大幅降低但是如果今天出現了一些突發狀況要嚴格控管境外傳染病or預防恐怖攻擊時整個機場的安檢層級拉高下 快速通關就形同沒有意義因為只有靠CPU人力才能執行更嚴格的篩檢我這樣貼近生活化的解釋 你有稍微了解了嗎？！所以當你去開啟一些服務 是需要去分析篩選封包的功能上會與HW NAT相衝的 有些韌體就會自動關閉HW NAT一般家用分享器大致上會有兩種NAT加速方式

9Z大說的很正確

依照韌體硬體支援的程度不同分成Level 1 CTF = CTFLevel 2 CTF = FA + CTF簡單來說CTF是軟體加速(Cut Through Forwarding)FA是硬體加速(Flow Accelerator)

以我手邊的C7為例，高通晶片Qualcomm Atheros QCA9558720MHz，用的就是level 2 CTF= FA+CTF.

CTF做法比較簡單 優化調整了轉發程序所以使用上比較沒有限制 當然加速的力道也就比較弱FA做法比較複雜 需要硬體的支援所以加速的力道也就比較強 當然使用上限制就比較多舉凡QoS STP 流量監控 AI Protection bla bla等等之類的都會導致FA被Disable 使用上限制很多要爽用FA 基本上你就只能讓他乖乖當葛純分享器用

的確如此。我最近都在和TPLINK的工程師一起排除IPV6可是，我不懂的是台灣ipv6採用dual stack運作，可當我真的ipv6/ipv4雙軌運行的時候，C7如要實現這個論點時，我必需要將所有設備的mtu設置為1480才能正常運作，後來幾經波折，透過sli 修改封包表頭與mss，才能正常運作。畢竟還有行動裝置的關係。