[讨论]请教关于vik猫断流保护的问题，IP Filter问题

hugebird

[这个贴子最后由hugebird在 2005/03/22 10:43am 第 1 次编辑]

刚改为包月，把ZXDSL831 （vikI）升2.1.040827a固件，改路由，研究了东版关于断流保护的那篇文章，现在有些问题请教大家。
1。将猫的管理端口Telnet/Http/FTP由原来的23/80/21该到61000~62000是否必要？
因为新版固件的出厂IP Filter rules已经对23/80端口Incoming TCP进行了限制，即使管理端口号不作修改，WAN上的用户也不可能登录到猫上的管理服务器。
如果端口改变以后，IP Filter没有对改后的端口进行限制，改后的端口完全暴露在外网上，那么反到给了外人以可乘之机。
2。将23/80/21端口 作RDR映射，既然虚拟管理端口已经修改，那么这样做似乎没有必要，因为router的virtual server根本就不响应这几个端口，外网软件或病毒扫描这3个端口根本不会增加猫cpu的负担，扫描这几个端口和扫描其它的端口应该没什么区别
3。关于IP filter, 我查了教程区的帖子，很多人认为IP filter会增加猫的负担，建议不用，或者只用2，3条，而出厂设置里使能了18条，请问大家的猫里都是怎么设的？
以上问题请大家讨论，这几天实在是困惑。
始终时钟无法拨号成功，改了之后就可以，不知道是不是网通把它改MAC地址锁了

YES东

下面引用由hugebird在 2005/03/22 10:39am 发表的内容：
刚改为包月，把ZXDSL831 （vikI）升2.1.040827a固件，改路由，研究了东版关于断流保护的那篇文章，现在有些问题请教大家。
1。将猫的管理端口Telnet/Http/FTP由原来的23/80/21该到61000~62000是否必要？
因为新　...

首先外部不能访问你的设备的80端口是因为电信方面做了遮蔽！并非FW里面做了过滤！个人认为有必要修改端口！还有既然开了虚拟服务器功能就无需再做端口映射！

hugebird

[这个贴子最后由hugebird在 2005/03/23 11:23am 第 1 次编辑]

昨天做了试验，重新加载大约10条基本的IP Filter,用superscan 4.0从外网一扫，我用另一台机器modem拨号，ADSL猫立即死掉。如果关闭IP filter，只使用NAT rule, 则毫无问题。从论坛里各位高人的看法，是因为IP Filter特别耗猫处理器资源，从试验结果上可以说明确实如此。
最后我的猫过滤方案设为：
关闭IP Filter（即安全级设为NONE）, 然后在Nat rules中加入两条RDR映射，分别为将外部所有端口（0～65535）TCP和UDP请求全部映射到内网192.168.1.255的65535端口（不存在的主机），并且Rules ID设为50和51，如果以后要开放部分端口或者作BT端口映射可以设在前面，效率最高。
ICMP对外部开放，我另外在IP Filter中加了对icmp的过滤，如果有必要可以打开这条过滤。测试中未出现猫死机的情况