Filtrerande router

Hej.
Jag tänkte passa på att fråga lite om bra sätt att sätta upp DMZ. Jag har en sparcstation5 med ett qfe(4-portars ethernet) som jag tänkte använda som filtrerande router. Det jag undrar är över hur jag skall skapa en DMZ mellan internet och mitt lokala nät.

Ett alternativ är att använda tre av portarna, en till kabelmodemet(1), en till DMZ(2) och en till det lokala nätet(3). NAT mellan (1) och (2), samt mellan (1) och (3). Sedan intern routing mellan (2) och (3) för administration av de publika datorerna.

Nästa alternativ är att använda alla fyra portarna. En till kabelmodemet(1), en till DMZ(2). Sedan en från DMZ(3), och till sist en in till LAN(4). NAT mellan (1) och (2), och intern routing mellan (3) och (4).

Är ni med, eller rörde jag till det? Det enda ss5:an kommer att göra är att skyffla paket och filtrera lite. Det rör sig alltså hur jag fysiskt skall sätta upp det hela. Använda tre eller fyra portar. Det känns som att det blir lättare att skriva regler med fyra portar, men det kan ju finnas saker jag inte har tänkt på eller har en aning om så alla kommentarer är välkomna.

Jag kommer att köra NetBSD/ipf. Jag vet inte om jag kan förklara på bättre sätt. Se det som att de två första portarna bildar brandvägg mot internet. Alltså en till modemet, och en till switchen. Sen blir det en router mellan de två andra porterna, från DMZ till mitt LAN. Kanske kan hjälpa med en fin illustration(<-nr-> är portnr ;0):

(sätt in ett moln) <-1-> brandvägg <-2-> DMZ <-3-> router <-4-> LAN

Istället för:

(sätt in ett moln) <-1-> brandvägg/router mellan LAN och DMZ
<-2-> LAN
<-3-> DMZ

Det är det jag undrar över, vilken som är att föredra? Är det någon risk med att brandväggen och den interna routingen görs av samma maskin? Det är ingen tung belastning på nätet, så det är ingen fara med att maskinen inte skall orka med både brandväggen och intern routing. Jag är inne på lösningen med 4 portar, känns enklare, och så utnyttjar jag alla portar ;0).
Blev det klarare?
Är det här en dum fråga?

>Om du tänkter köra NAT på yttersta routern ser jag inte riktigt poängen.

Jag glömde och säga att detta är mest för att leka och lära hemma. Har endast en dynamisk adress, så jag måste köra NAT på brandväggen. Jag tänkte inte ha någon NAT på den interna routern, endast kontrollera trafiken mellan DMZ och LAN.
Men vad skulle vara poänglöst med att sätta upp det så? Man kan ju fortfarande ha publika tjänster uppe, även om man bara har en adress så kan man ju styra trafiken till flera i DMZ, tex en för mail, en för web etc.

>Annars skulle jag ha kört VM-ware och en svart brandvägg först, sen DMZ (alla i >dmz får externt ip) sen NAT-routern till LAN. Då har du alltid en brandvägg uppe även >om din NAT-burk blir hackad.

Ahh...
Men VM-ware kostar väl pengar?

Jag förstår inte hur brandväggen är skyddad från att bli hackad om den körs på samma burk som den interna routern? Har den blivit hackad är det väl inga större problem att påverka brandväggen, även om den körs i en virituell maskin? Eller vet jag inte vad jag talar om ;0)?

NAT på den interna routern är verkar ju vara vettigt. Maskinerna i DMZ behöver ju inte se de som finns i mitt lokala nät.

Intressant, tack för svaren förresten!