请问DMZ是否可以导向ROUTER ?
记得在家用级的DMZ大多是指定外网连内网中特定SERVER，以确保内网用户的资料安全。
那假使我将外网连入ROUTER(NAT 功能开启)。
NAT ALG 也是用于外网连内网时，可以穿越NAT与用户端相连。
针对9Z与vaper的问题，我再解释清楚一下。
HW NAT 运作的原理就是为了弥补家用级路由器本身CPU效能不足的问题，延伸出使用另外的芯片或是特定指令集来处理特定表头的数据，以减缓CPU的loading，以达到提速的效果。
一般router的管理，都会经由CPU作处理，但HW NAT由于会绕过 CPU致使原本设定ACCESS ROULES（ALG)会变无效化。
所以在使用ping/tracert 时，未开使用HW NAT经由硬播得到ip端口出去，但是HW NAT开启后metric会多了一个。
DMZ（非军事区）目的就是将外网连内网导入独立区（通常是服务主机且端口全开），以保障内网资讯安全。而关于这点我确实有点天马行空，因为这样导入的话，有点画蛇添足。但家用级别DMZ和企业级的DMZ还是有差别的。

应该是无效的DMZ不是拿来确保安全的DMZ会使安全性变糟

了解…

我对ALG不熟，看了一下，应该是让NAT能处理“把server的ip,port藏在应用层的网络协议”算是NAT的应用层版本？不过可以预想普通的NAT硬件加速不能处理+NAT效能下降，大概。

HW NAT开启后，ALG 就等于无效。因为没有过CPU

DMZ导向router跟没有设DMZ也没有设port80的导向有87%像

推楼上 Router开硬拨外界当然先连到Router啊不懂原Po到底在公虾小...另外不是ALG无效 是HW NAT会无效化只要韧体运作正常 需要丢给CPU处理的都一定会丢 放心原Po说的ALG应该单纯只是NAT穿透技术的一种而已支援此技术的程式可以完成在特定协定上的位址和埠转换理论上HW NAT应该影响不大

同楼上，原po犯了新手常见错误，只知道功能不知原理导致有很多天马行空的想法

可是，实务上，家用级HW NAT开启后，外网连到ROUTER后https://i.imgur.com/pvhhcjC.jpg

绕过CPU...http://i.imgur.com/QBRyT3n.jpg另外不会编辑文章的话用推文就好家用产品没那么佛心还给你多颗硬件加速芯片 这个要商用等级才有的我看你的Tracert图很正常啊 什么叫做多了一个？！

开了HW NAT 会变成这样https://i.imgur.com/mh7Cp7i.jpghttps://goo.gl/yQSxh6这篇文章应该说明就很清楚了。

1.后续增加的文章不要放回内文中，麻烦标记一下，不然谁看得到啊？2.DMZ是怎么保障内网安全的这我还是想不透？把设备丢到外网去怎么会变安全啊？诱导弹吗？DMZ有分家用企业?

atrix 家用和商用是指设备。dmz 是指(外网连内网某一个服务主机)没有直接与内网连接，而我原本的作法是不对的。

DMZ我懒得讲惹我来稍微说一下HW NAT你可以把他当作类似是机场的快速通关当今天没有HW NAT的时候 每个人都要依照规定来做安检如果CPU速度不够快 安检的人力不足时整个NAT throughput转发速度自然就会被拉下去HW NAT就好比是用机器来快速通关CPU安检的人力Loading自然就大幅降低但是如果今天出现了一些突发状况要严格控管境外传染病or预防恐怖攻击时整个机场的安检层级拉高下 快速通关就形同没有意义因为只有靠CPU人力才能执行更严格的筛检我这样贴近生活化的解释 你有稍微了解了吗？！所以当你去开启一些服务 是需要去分析筛选封包的功能上会与HW NAT相冲的 有些韧体就会自动关闭HW NAT一般家用分享器大致上会有两种NAT加速方式

9Z大说的很正确

依照韧体硬件支援的程度不同分成Level 1 CTF = CTFLevel 2 CTF = FA + CTF简单来说CTF是软件加速(Cut Through Forwarding)FA是硬件加速(Flow Accelerator)

以我手边的C7为例，高通芯片Qualcomm Atheros QCA9558720MHz，用的就是level 2 CTF= FA+CTF.

CTF做法比较简单 优化调整了转发程序所以使用上比较没有限制 当然加速的力道也就比较弱FA做法比较复杂 需要硬件的支援所以加速的力道也就比较强 当然使用上限制就比较多举凡QoS STP 流量监控 AI Protection bla bla等等之类的都会导致FA被Disable 使用上限制很多要爽用FA 基本上你就只能让他乖乖当葛纯分享器用

的确如此。我最近都在和TPLINK的工程师一起排除IPV6可是，我不懂的是台湾ipv6采用dual stack运作，可当我真的ipv6/ipv4双轨运行的时候，C7如要实现这个论点时，我必需要将所有设备的mtu设置为1480才能正常运作，后来几经波折，透过sli 修改封包表头与mss，才能正常运作。毕竟还有行动装置的关系。