Szenario:
Ein Webserver steht in einer DMZ (De-Militarized Zone) und hat eine offizielle IP (LAN ohne NAT). Es wird klassisches Routing verwendet (siehe Abschnitt 11.7.1, „Klassisches Routing“).
Der Router des Providers hat die IP 88.89.90.1, die externe IP des Intra2net Systems ist 88.89.90.2 (Netzmaske 255.255.255.252).
Die DMZ nutzt das Netz 88.89.90.4/255.255.255.252 (30 Bit Netz mit 4 IPs), das Intra2net System hat die IP 88.89.90.5, der Webserver 88.89.90.6
Vom Internet her ist der Zugriff auf die TCP-Ports 80 und 443 (vordefinierte Dienste http und https) des Webservers gestattet.
Die Rechner aus dem LAN haben vollen Zugriff auf den Webserver
Die Rechner aus dem LAN dürfen nur über den Proxy ins Internet, E-Mail ist nur über das Intra2net System möglich
Der Webserver hat ausschließlich Zugriff auf TCP-Port 3306 eines Datenbankservers (IP 192.168.1.40) im LAN.
Der Webserver darf die Dienste DNS und SMTP des Intra2net Systems nutzen.