[转帖]华为MT800 中的IP过滤规则

pastmaster

选择<高级功能>选卡 —> IP过滤器 选项
一、IP过滤的全局配置
安全级：
用来设定哪一种安全级别的IP过滤规则有效。例如：当<高级>被选择，则仅仅安全级别为高的规则有效 ，如None被选择，IP过滤将被禁止。
Private/Public/DMZ Default Action：
用来设定Private/Public/DMZ三种类别接口的缺省行为（允许/拒绝），这三种接口类型可以在创建接口（如 PPP接口等）时被设定。
1）Public接口一般用于连接Internet。PPP、EoA和IPoA一般都是Public接口。
在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像，除了在其他IP过滤规则中被允许的规则，其他所有从外网发起的访问
内网（你的局域网）的请求都将被拒绝（被Public接口丢弃）。
2）Private接口用于连接你的局域网（modem的以太口），在Private接口上收到的数据包几乎不受到防火墙限制，因为数据方向都是在你的局
域网里。典型的，由内网发起的访问Internet的请求都是被允许的。
3）DMZ（非军事区）涉及到公网用户访问内网服务器（虚拟服务器）的问题，默认这种访问是被禁止的。
二、添加新的IP过滤规则
1.在IP过滤设置主页面内，单击"添加"按钮，将显示规则添加页面。
2.添加页面有如下显示：
·规则 ID：每一个规则都有一个规则ID，这类似于NAT规则的规则ID，ID号越小优先级越高。建议使用5、10这样 的数字，以便今后插入新的
规则。
·操作：定义本规则被匹配时的行为，即允许/拒绝。
·定向：定义数据方向，即incoming/outgoing（进/出）。
·接口：定义将被使用此规则的接口（如PPP、EoA、IPoA、eth-0）。
·输入接口：这个选项仅在数据方向是outgoing时才有效，所有数据都将被转发到前面定义的那个接口上
·日志选项：启用日志选项
·安全级：这个安全级别用来定义这个规则的级别。当全局配置里的安全级别与这个规则级别相符时 ，该规则将被启用。
·黑名单状态：用来定义，是否将违反规则的ip地址加入Black List（黑名单）。
·日志标签：定义最多16个字符，在日志中标明这个规则项的事件。
·源IP地址：定义受限制的数据通信的源IP地址（或范围），在下拉菜单中可以选择匹配模式
*任意 :任意IP地址
*It :任何小于被定义IP的地址范围
*Iteq :任何小于等于被定义IP的地址范围
*gt :任何大于被定义IP地址的范围
*eq :等于被定义的IP地址
*neq :不等于被定义的IP地址
*range :任何在定义范围内的IP地址
*out of range :任何定义范围外的IP地址
*self :ADSL/Ethernet Route自己的IP地址
·目的IP地址：定义受限制的数据通信的目的IP地址（或范围）
·协议：定义受限制的协议种类，主要有：TCP、UDP、ICMP
·应用状态监测：如果这个选项被勾选，则stateful filter将被执行，并且在一个IP会话期间这个规则将被应 用到定义接口的其他数据方向
上
·源端口：受限制主机的端口号（默认状态是无法改变的，除非在"协议"选项里选择了TCP或UTP作为协议）
·目的端口：被限制访问的目的地址的端口号（默认状态是无法改变的，除非在"协议"选项里选择了TCP或UTP作为协议）
·TCP标记：定义规则是否在TCP数据包中含有（SYN）同步信号时才被使用，如此项被选择，则此规则对于已经建立的TCP连接不起作用，而只
对建立连接中的TCP数据包有效。
·ICMP 类型/代码：定义ICMP数据包头中需要匹配的数值（0-255）。
·IP 分段报文：定义受限制的IP数据包是否包含IP碎片，默认是被忽略（Ignore）的。
·IP 选择报文：定义受限制的IP数据包是否包含IP选项，默认是被忽略（Ignore）的。
·报文大小：定义受限制数据包的大小。

xiangj

不错的文章.

3yu3

收藏，研究！