[转帖]2110EHR V3.x 开路由共享防攻击方法
最近国内很多地方反应网络受到攻击,导致很多采用adsl modem宽带接入方式的用户(上网方式为pppoe /pppoa /1483 固定ip+nat /1577 +nat)上网时出现使用一段时间后就无法使用、ping modem也无反应的现象。我们知道这些现象都是发生在开启了路由共享方式才会发生。原因:
● 路由方式IP是分配在MODEM上,外网根据IP可以直接访问modem;
● modme对外提供web/ftp/telnet/tftp等端口;
● 用户未采取任何的保护措施;
针对我司采用globespan viking/viking2解决方案的2110ehr v4.x产品可以参考4.5的解决方案。我司产品2110ehr v3.x采用的是conexant的解决方案,该方案主要通过web来管理配置,同时也提供ftp方式升级软件。当然,3.x版本根据软件版本不同,也有支持telent来配置管理,主要有ADSL_EHR3_080902_REL9P_100和2110ehr v3.7的080902_REL8K的软件。
在福州也有发现,有些地方pppoe上不去,后来登陆modem,发现:
1、modem显示pppoe无法拨上;
2、system log 显示ppp授权失败,无法获取IP;
因此,我们可以通过以下几个措施来加强安全:
★ 更改admin 用户的密码;
★ 做端口映射(80/ftp/telnet);
★ 或者做全部端口的映射------开启DMZ功能;
以下就详细介绍:
在这强调一点:开启路由共享模式,建议用户把多余的PVC删除(在2110ehr v3.x中是不激活)。
1、更改modem中admin 用户密码:
http://192.168.10.1 -------特权设置----管理员,然后更改密码。
2、做端口映射:
http://192.168.10.1 ---- 虚拟服务器
http://www.star-net.com.cn/aspsky/UploadFile/2004-4/20044915346498.jpg
● ID号;
● 端口号,公有和私有作好写成一样;(做21/23/80几个端口映射)
● 主机IP为内网的IP地址;
注意:1、把多余的PVC 禁用;
2、要从另外一条线路来访问;
3、做全部端口的映射------开启DMZ功能
在DMZ中可以把全部端口映射掉,不用逐个做。
http://192.168.10.1-------MISC配置 -------开启DMZ ,然后指定一内网IP;
http://www.star-net.com.cn/aspsky/UploadFile/2004-4/200449153643223.jpg
当然也可以在misc配置中限制wan口上的访问,或者指定一唯一IP可以管理配置。
注意:在上面3点中,2和3为2选1即可,同时virtual server中的配置将优先于DMZ的配置。
建议采用1和3即可。
页:
[1]