xiaohao 发表于 2004-4-27 04:16:17

[求助]帮忙解析一条IP过滤的实例

请详细解析一下上图的IP规则。
谢谢!

goingchan 发表于 2004-4-27 10:29:33

[求助]帮忙解析一条IP过滤的实例

允许访问DNS服务

xiaohao 发表于 2004-4-27 14:08:05

[求助]帮忙解析一条IP过滤的实例

goingchan
你好!
按你的回答:明白53端口是DNS的。
我先说一下我的理解。
不对请帮忙解析,谢谢!
图中的规则
I/F是private来看是定义内部的,就是说从路由器到PC的。
至于apply stateful inspection我不了解是什么意思。请高手指教!
outgoing表示从路由器流到PC的数据方向。
accept表示接受。
DMZ:就不是很明白。(为什么要用这个?用其他的不可以吗?)

alanlql 发表于 2004-4-27 16:45:54

[求助]帮忙解析一条IP过滤的实例

I/F是private:此条规则定义于MODEM的内部接口上(以太口),数据包在经过MODEM的其他端口时不接受此条规则检查;
apply stateful inspection:接受状态检查,即区分是否为SYN数据包(建立连接同步数据包);
Direction为Outgoing:此参数与I/F同时考虑,表示在private接口上离开MODEM的数据包;
Rule Action为Accept:对于符合此条规则所有条件的数据包进行的操作,这里指定允许通过,否则找下一条规则进行检查,如果没有下一条规则,则执行I/F(private)接口的全局定义操作(在最上边);
In I/F为DMZ:此参数对于Direction为Outgoing的规则才有效,指定数据包从何而来,这里指定从DMZ接口来。对于AAM6000EV/G3而言,没有这个接口,所以定义这条规则实际上不但没有意义,而且会使所有数据多接受一道关卡的检查,应该删此条规则。

goingchan 发表于 2004-4-27 16:50:50

[求助]帮忙解析一条IP过滤的实例

I/F是private来看是定义内部的,就是说从路由器到PC的。
-->I/F是interface,private是指路由器上的面向内部的那个接口,如eth-0
至于apply stateful inspection我不了解是什么意思。请高手指教!
-->apply stateful inspection,比较准确的意思是应用状态监控,合理使用该选项能以较少的规则控制单向访问
outgoing表示从路由器流到PC的数据方向。
-->对private接口来说是这样
accept表示接受。
-->是,或者说允许通过比较准确
DMZ:就不是很明白。(为什么要用这个?用其他的不可以吗?)
-->由于modem上物理接口只有两个,DMZ基本上是摆设。。。(不过,用veth的时候还是有点可用的地方)

goingchan 发表于 2004-4-27 16:53:13

[求助]帮忙解析一条IP过滤的实例

下面引用由alanlql在 2004/04/27 04:45pm 发表的内容:
I/F是private:此条规则定义于MODEM的内部接口上(以太口),数据包在经过MODEM的其他端口时不接受此条规则检查;
apply stateful inspection:接受状态检查,即区分是否为SYN数据包(建立连接同步数据包);
Di ...

是否SYN是由TCP Flag控制

xiaohao 发表于 2004-4-27 16:57:16

[求助]帮忙解析一条IP过滤的实例

谢谢 alanlql!
DMZ接口是指哪的接口呢?是做了DMZ的PC机的接口?
apply stateful inspection:有什么作用呢?什么时候要选它?什么时候不选?

alanlql 发表于 2004-4-27 16:57:17

[求助]帮忙解析一条IP过滤的实例

联机帮助中是这么说的:
Apply Stateful Inspection: When this option is enabled, packets are monitored for their state (i.e., whether a packet is the initiating packet or a subsequent packet in an ongoing communication, etc). This option provides a degree of security by blocking/dropping packets that are not received in the anticipated state. Such packets can signify an unwelcome attempt to gain access to a network.

alanlql 发表于 2004-4-27 16:59:07

[求助]帮忙解析一条IP过滤的实例

下面引用由xiaohao在 2004/04/27 04:57pm 发表的内容:
谢谢 alanlql!
DMZ接口是指哪的接口呢?是做了DMZ的PC机的接口?
apply stateful inspection:有什么作用呢?什么时候要选它?什么时候不选?

一般防火墙上有此端口,一般用于接公司因特网发布服务器,如WEB服务器、MAIL服务器等。

alanlql 发表于 2004-4-27 17:03:00

[求助]帮忙解析一条IP过滤的实例

有关DMZ,联机帮助中这么说:
The term DMZ (de-militarized zone), in Internet networking terms, refers to computers that are available for both public and in-network accesses (such as a company';s public Web server). Packets received on a DMZ interface -- whether from a LAN or external source -- are subject to a set of protections that is in between public and private interfaces in terms of restrictiveness. The global setting for DMZ-type interfaces may be set to Deny so that all attempts to access these servers are denied by default; the administrator may then configure IP Filter rules to allow accesses of certain types.
页: [1] 2
查看完整版本: [求助]帮忙解析一条IP过滤的实例