路由器里面 dmz、虚拟服务器、nat 3个功能是不是差不多的啊，有何区别呢？

差不多。DMZ可以设置单个ip，像开放哪台服务器。可以建立一个主机开放端口。虚拟服务器是可以将IP和域名梆定的。并不需要和端口对应。NAT一般是流量或者协议相关的。这是我自己在网络方面的心得。

DMZ主机是为了实现网络隔离，2个网络之间的缓冲区域。其访问权限比较特别。比如一个校园网和Internet互联，可以设置一个DMZ，让校园网和Internet不可以直接互相访问，而只能通过DMZ。而DMZ不能访问校园网。
而虚拟服务器是指使用内网私有IP的PC不能作为服务器，而路由器提供端口映射功能，可以把使用私有IP的PC的某个进程的端口映射到网关的的某个端口，从外部来看，与这个PC进程的通讯的IP就是一个ISP提供的Internet中的IP。所以称为虚拟服务器。

DMZ区是防火墙或路由器上直接通外网的端口，防火墙对内网LAN口的限制不会应用于DMZ区，也称为非军事化区，用来连接服务器。

而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

结构：

在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。

内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。

你目前做的应该是一个双向NAT，也就是说，内网、DMZ出去时作了NAT，外网访问DMZ时也作了NAT，所以才出现这种状况。就决办法：
1、制作单向NAT，内网、DMZ到Internet出口作NAT，对DMZ内需要提供Internet服务的主机作静态NAT映射；
2、内网访问DMZ时不做NAT，外网进入内网和DMZ时不需要做NAT，这样，DMZ内服务器收到的公网的访问时，源地址就是公网的地址，不再是防火墙上的地址，而且内部的地址还是内部的地址，这就可以把地址分开；
也就是说，由防火墙到DMZ主机的端口不能使用NAT功能，由内部、DMZ到外部时才使用NAT，这个问题就可以解决了。我不知道你使用的是哪个厂家的防火墙，一般都可以做到这么定义。

DMZ接口，应该是连接DMZ主机的，关于DMZ的内容，这里讲的很详细>