引用:
jaconet寫到:
沒錯啊! 方法三的 DMZ 及 pppoe pass through 不需要 NAT 轉換! 但是 UPnP 還方法一!
我實在不想去糾正, 但是為了給其他人正確的觀念, 敬請見諒!
AP 也有 CPU 也有防火牆的軟體(軔體). AP 的 CPU 處理能力不足, 也是造成熱當的主因.
防火牆除了基本的 NAT 轉換, 我想大多人只用了這個功能! 其他的大多沒有去設定.
不過這樣也沒有什麼不好, 我這樣說好了.
像 WinRoute 可以設定只有 FTP 協定能傳輸, 不單單只是封包過濾功能, 還會針對
FTP 的封包加以驗正. 這樣可以很安全地保證只有 FTP 能被傳輸.
但是 P2P 協定很難去規範. 最後我只好只用 NAT 轉換功能. 並把 WinRoute 其他防護功能給關閉.
目前我是用方式5, 外部網卡只開 TCP/IP 協定, 關閉檔案共享服務, 使用 XP 內建的防火牆
(內部網路取消 XP 防火牆), 由於外部網卡直接連接網際網路, 只有 P2P 的電腦在使用, 也沒有使用 NAT.
不知道這樣有無安全上的問題?
我也沒說 UPnP 不是 Port Mapping,但使用同樣的 IP 分享器,一者還要投資一定成本在無線 AP 上,還需留意無線 AP 與 IP 分享器是否能負荷 P2P 的流量,另一者只需專心在 IP 分享器能否負荷 P2P 流量即可。
我想你是要強調樓主把 DMZ 與 Port Mapping 分開談是因為它們之間的差異才分開,是吧?而我把它混在一起你看了覺得不對?
用方式1 的說法改成我說的做法,與用方式3 的說法來改,哪個比較方便?
若單就 P2P 獨立使用一個主機,是否需考慮安全性這件事來說,我想這是見仁見智的事,若以我自己來說,我會把安全性把第一位(雖然我沒真的讓 P2P 獨立),風險不能說沒有,畢竟是花時間抓的東西,因為出問題而重抓,還不如乾脆用買的算了。
而且使用如 eMule 這類的 P2P,不是單單的你連線出去找來源,別人也會連到你這找來源,如果不以 IP 分享器來控制連線數,過一陣子系統就會因為被塞爆而陷入重度 Delay 的狀態(系統程序 「System」100% 完全佔用 CPU)。
況且還得考慮 P2P 對於整個網路的影響,如果想要達到:「一般工作使用網路時完全不受影響,沒有其它網路活動時 P2P 才會善用所有的頻寬。」,投資在無線 AP 的成本,對於有限預算的個人使用者來說是相當昂貴的,如果將就將就,也許只能求無線 AP 不當機,善用頻寬就不必考慮了。
再談到防火牆,軟體防火牆缺點實在不少,像我之前在用 ZoneAlarm,就遇過被駭客攻擊導致防火牆崩潰,但請注意,此時網路還是在線上,這像是在原本穿著運動跑步,突然被駭客搞成裸奔。
更別說管理效能有多差,而我前面提到的『系統程序 「System」100% 完全佔用 CPU』,有使用軟體防火牆的機率更大,禍首就是軟體防火牆,而且還會因為處理能力不佳而導致網路反應時間的增加。
就目前市面上的防火牆來說,效能不佳已成通病,更別說投資在軟體防火牆的成本不會比買台好一點的 IP 分享器要便宜到哪去。
而 IP 分享器的防火牆就至少不會有軟體防火牆的『裸奔』情況,因為它是燒在晶片上,要是出問題,那只會造成分享器重新啟動。至於效能就更不必說了,只要多花點錢選擇稍微高檔的分享器,問題自然不存在。
如果買個正版的軟體防火牆+一台普普的 IP 分享器,一定超過 NT.2000,還不能順利跑 P2P 不熱當。
而買一台舊式、具有 QoS、處理 Session 數大約在 1萬左右的 IP 分享器,卻只要 NT.2000,說真的,何必跟自己過不去?
廢話太多,其實就幾句話:
1. 無線 AP 不要參與 P2P 運作(砸大錢的高檔品就沒差)。
2. 所有網路設備最好都透過 IP 分享器才出去。
3. 軟體防火牆太差,不如用 IP 分享器來過濾。
