Не совсем так ))
Давайте на конкретном примере - будет проще.
Есть файрволл с тремя сетевыми интерфейсами.
1 - имеет внешний адрес, например - 1.2.3.4
2 - адрес локальной сети, например 10.0.0.253 и маску 255.255.255.0
3 - адрес dmz, например, 10.0.1.253 и маску 255.255.255.0
При этом к локальной сети доступ снаружи запрещен вообще. К компьютеру с адресом (например) 10.0.1.1 (это - наш сервер) проброшены только нужные порты, например, 80, 443, 25 и т.п. (смотря что именно там крутится, и к чему нужен доступ).
Из dmz доступ к локальной сети тоже запрещен. Из локальной сети вообще говоря, разрешен доступ всюду (в том числе, и в dmz).
Например, так.
Пользователь решил продолжить мысль 22 Июня 2010, 22:33:13:
@RustemNur,
А что именно подробнее? Например, ест файрвол с адресом 1.2.3.4 на внешнем интерфейсе. На этом же интерфейсе поднят алиас 1.2.3.5. Порты алиаса 1.2.3.5 проброшены на сервер в dmz (в вышеприведенном примере - 10.0.1.1). Что это дает? Многое. Например, так я могу физически разнести разные (например) веб-сайты на разные (физически) сервера, находящиеся за одним и тем же NAT-ом (файрволлом) (в DNS при этом прописываются адреса алиасов, конечно).