[转帖]2110EHR V3.x 开路由共享防攻击方法

YES东

最近国内很多地方反应网络受到攻击，导致很多采用adsl modem宽带接入方式的用户（上网方式为pppoe /pppoa /1483 固定ip+nat /1577 +nat）上网时出现使用一段时间后就无法使用、ping modem也无反应的现象。

我们知道这些现象都是发生在开启了路由共享方式才会发生。原因：

●     路由方式IP是分配在MODEM上，外网根据IP可以直接访问modem；


●     modme对外提供web/ftp/telnet/tftp等端口；


●     用户未采取任何的保护措施；


针对我司采用globespan viking/viking2解决方案的2110ehr v4.x产品可以参考4.5的解决方案。我司产品2110ehr v3.x采用的是conexant的解决方案，该方案主要通过web来管理配置，同时也提供ftp方式升级软件。当然，3.x版本根据软件版本不同，也有支持telent来配置管理，主要有ADSL_EHR3_080902_REL9P_100和2110ehr v3.7的080902_REL8K的软件。



在福州也有发现，有些地方pppoe上不去，后来登陆modem，发现：



1、  modem显示pppoe无法拨上；



2、  system log 显示ppp授权失败，无法获取IP；



因此，我们可以通过以下几个措施来加强安全：



★     更改admin 用户的密码；



★     做端口映射（80/ftp/telnet）；



★     或者做全部端口的映射------开启DMZ功能；



以下就详细介绍：



在这强调一点：开启路由共享模式，建议用户把多余的PVC删除（在2110ehr v3.x中是不激活）。



1、  更改modem中admin 用户密码：



http://192.168.10.1 -------特权设置----管理员，然后更改密码。






2、做端口映射：


   http://192.168.10.1 ---- 虚拟服务器

●     ID号；


●     端口号，公有和私有作好写成一样；（做21/23/80几个端口映射）


●     主机IP为内网的IP地址；


    注意：1、把多余的PVC 禁用；



2、要从另外一条线路来访问；








3、做全部端口的映射------开启DMZ功能


在DMZ中可以把全部端口映射掉，不用逐个做。




   http://192.168.10.1  -------MISC配置 -------开启DMZ ，然后指定一内网IP；

当然也可以在misc配置中限制wan口上的访问，或者指定一唯一IP可以管理配置。






注意：在上面3点中，2和3为2选1即可，同时virtual server中的配置将优先于DMZ的配置。

建议采用1和3即可。