[原创] ADSL配置误区

alanlql

LBHIDDEN[0]LBHIDDEN[这个贴子最后由alanlql在 2004/04/22 07:01pm 第 1 次编辑]

[watermark]最近的断流问题，使大家忙得不亦乐乎。但是我认为这里存在几个误区，在这里提个醒，免得大家劳而无功。首先指出的是，以下观点都是我个人的看法，没有经过更深一步的考证。如有不对之处，请各位大侠及时指正，免得误人子弟。嘿嘿
误区1：刷FW
    这个本来不属于配置的范围，但我认为这是对安全性配置不了解而引发的操作，所以在此提出。也因为这个操作搞不好会影响MODEM的使用，所以放在第一个提出。
    我个人认为，刷新FW只有在明确知道使用的FW存在问题，或者实在找不出其他办法的时候比较合适。比如，当我们的配置已用正确的方法保存后，系统掉电重启后还是需要重新设定；在正常登录MODEM的WEB进行配置，此时广域网端口未正常连接，基本可以排除存在功击的可能性，而MODEM也会莫明其妙地当机；或者点击标签后得不到我们需要的WEB页，在确保PC没有病毒，重启PC后还是老样子；或者已经明确该版本的BUG影响使用，等等等等。总之不到万不得已，不要轻易升级FW。但是，如果确实想试试某些新FW的新功能，或者为了测试目的，手头上又有备货，经常刷个不同的版本FW试试也未尚不可。不过这也不能随便乱刷，必竟刷坏了损失是自已的。再说，新的FW往往存在未知BUG，要等大家使用后才能知道，而且反馈给软件厂商的才能在再次更新的版本中排除。
    刷新用的FW最好是原厂提供的。虽然本人也在ASUS 的G3上使用着Solwise SAR130的FW，但我还是认为尽量不要这么做。不同芯片组的FW不能混用，这一点不用我说大家都知道，但是FW必竟和硬件的关系很紧密，即便FW本身没问题，硬件也没有故障，不配套的软、硬件放在一起可能会使某些功能不能正常工作，甚至由此造成当机、断线、效率得不到提升。
    有些朋友在升级了FW后不再断线了，这不是因为新的FW才不断线，而是新的FW在缺省配置时加上了防止功击的相关规则而已。
误区2：改端口
    大家都知道最近的断流是因攻击而起，因而纷纷改了MODEM各个服务的守护端口，以为这样别人就不能攻击到自已的MODEM了。
    实际上标准端口号只是为了使用上的方便而规定的，不具有任何其他的意义，使用标准端口对正常访问相应服务带来了很大的方便，而不使用标准端口对于安全性没有任何意义。试想想，现在因特网上端口扫描程序随随便便就可以下一个，只要找到了端口号，随后的攻击行为一般是试探性的，即使攻击者在经过了若干次试探后没有得到何结果，但这时MODEM已经受到攻击，更何况一般的攻击行为都会利用标准应用的安全漏洞，功击者会使用同一方法对不同端口实施攻击。正确的方法应该是将不安全的访问禁止掉。
    也许有人会问，改端口这个功能有什么用呢，为何要在MODEM上放置这个功能。实际上，这个功能只有在我们已经利用ADSL建立了一个WEB访问网站，同时又有必要在因特网上访问ADSL路由器的WEB界面对MODEM进行配置的情况下才有用。因为不可能在一个IP的同一个端口上绑定二个服务。实际上，如果使用非标准端口建WEB服务，也不需要改MODEM配置服务的端口号。
误区3：将80、23、21等口NAT到一个不存在的IP上，或者干脆使用BIMAP
    首先我不是很喜欢BIMAP这个功能，如果不是出于调试目的，也不是万不得已，我是不会使用BIMAP这个功能的。因为这种方式下的安全等级与桥接方式下用PC拨号软件建立连接基本相同，除非在PC上再用防火墙软件，否则没有安全可言。而在我的观念中，WINDOWS不是一个非常健壮的系统，在网络应用软件与通信底层软件之间插入一个防火墙，我不认为这种做法很合适。更何况，防火墙软件功越来越复杂，而很多附加的功能不是很有用，造成系统资源的不必要浪费，使用系统变得越来越慢。如果是使用小猫拨号，我更喜欢用W2K、XP自带的简易IP过滤功能。
    将服务端口NAT到不存在的IP上的缺点在于，当外来数据包访问这个端口时，会建立一个NAT表项，这个表项即使用没有被使用，也要等到超时后才被删除。如果恶意来访者不断发送连接数据包，或者多个IP地址同时发包到MODEM，则MODEM同样会因为NAT表溢出而断流、当机。
    如果从资源的角度分析，如果来访的数据包的目标端口在MODEM上没有服务程序守护，又没有哪条NAT配置项与此数据包相匹配，MODEM基本上在不消耗任何资源的情况下就将数据包拒绝了。
从效率上来说，象ADSL MODEM这样软硬结合的防火墙总比纯软件的防火墙效率高，而且ADSL MODEM的防火墙具备防火墙的一个重要特征：不可穿透性，纯软件防火墙就不可能做到为一点。
[/watermark]

wenqi

完全同意!!!
alanlql兄,真的很佩服你,可惜在这个论坛里有点曲高和寡...

YES东

下面引用由wenqi在 2004/04/22 06:53pm 发表的内容：
完全同意!!!
alanlql兄,真的很佩服你,可惜在这个论坛里有点曲高和寡...

曲高和寡：战国时楚地民众爱唱歌。
　　一天，有一人开始唱《下里巴人》，马上有数千人跟着唱；
　　再唱《阳菱采薇》，有数百人跟着唱；
　　可唱到《阳春白雪》时，音调陡然升高，难度加大，能跟得上的就只有十人之数了，这就叫曲高和寡。
　　这则小故事一方面也说明了楚人歌唱活动的普及。

kitano

复杂的东东还是留给高手们去做，我可是全力去顶帖的，嘻嘻

goingchan

[这个贴子最后由goingchan在 2004/04/22 07:28pm 第 1 次编辑]

1、2点没什么异议
第3点不完全正确
首先，关于“MODEM基本上在不消耗任何资源的情况下就将数据包拒绝了”此点不完全正确，你可以留意一下IP filter session表，事实上IP过滤不是直接将包丢了就了事的，会在session表建立相应的session表项(目的在于不用每个包都重跑一次过滤规则，以提高IP过滤的性能)，由于那个session表的存在，一样也有内存溢出、当机的可能。
还有，一打开IP过滤，就意味着多运行一个程序，而且包的流通中多了一个操作，对家用级ADSL modem少得可怜的内存来说，也不会省什么内存。
再者，从效率上说，PC的CPU都上G了，ADSL上的运算能力跟PC比？而且，一个好的软件防火墙本身就不会占太多资源(强调一下金山的绝对不是好东西)，没人叫你一定要用垃圾的!!当然，PC上只有32M内存的话，那就要具体问题具体分析了。

wenqi

下面引用由goingchan在 2004/04/22 07:15pm 发表的内容：
1、2点没什么异议
第3点不完全正确
首先，关于“MODEM基本上在不消耗任何资源的情况下就将数据包拒绝了”此点不完全正确，你可以留意一下IP filter session表，事实上IP过滤不是直接将包丢了就了事的，会在sessi ...

可以通过精心设定IP过滤来减少这种现象的发生。

goingchan

下面引用由wenqi在 2004/04/22 07:19pm 发表的内容：
可以通过精心设定IP过滤来减少这种现象的发生。

你真的有看IP filter session表吗？不只是deny会那里建立表项，accept也会建立表项的，用个最直观的方法，删了所有规则，所有接口都accept，直接开IP过滤，所有连接都会在那看到

goingchan

刚又看了一次，发觉，第1点也有一点点不准确
“有些朋友在升级了FW后不再断线了，这不是因为新的FW才不断线，而是新的FW在缺省配置时加上了防止功击的相关规则而已。”
这里，事实上，缺省配置的确是加了防止攻击的规则，不过，默认值的关闭。
可能你没用0917前的版本(不包括0917)，那时候的FW就算在本地进行配置过程中都会死机，PPP上开的管理端口就更脆，一扫就死。比较稳定工作情况是在0917出来后的事
所以，对于用0917版本前的用户，升了FW不容易死机不只是过滤规则的问题

goingchan

呀，忘了说，在一个端口绑定多重服务是可能的，详细不适合在这讨论，你去安焦翻翻资料

BOYMZJ

下面引用由alanlql在 2004/04/22 06:39pm 发表的内容：
也许有人会问，改端口这个功能有什么用呢，为何要在MODEM上放置这个功能。实际上，这个功能只有在我们已经利用ADSL建立了一个WEB访问网站，同时又有必要在因特网上访问ADSL路由器的WEB界面对MODEM进行配置的情况下才有用。因为不可能在一个IP的同一个端口上绑定二个服务。实际上，如果使用非标准端口建WEB服务，也不需要改MODEM配置服务的端口号

请问，如果在内网建立建立了一个WEB访问网站，使用rdr规则在猫的80端口上绑定该WEB访问网站，这时在外网访问猫的公网ip，会进入路由器的配置界面，还是WEB访问网站？谢谢！