[原创]华硕MODEM的IP Filter设定技巧

alanlql · 发表于 2004-4-12 01:16:54

LBHIDDEN[0]LBHIDDEN[watermark]下面是我对我的ASUS AAM6000EV/G3所作的IP过滤设定(S/W Version:VIK-1.38.030917a,Serial Number:Solwise-271003d)：
首先将Security Level设定为NONE，再将所有的过滤规则全部删除，再建立以下的过滤规则：
create ipf rule entry ruleid 1 ifname public dir in act accept transprot eq num 6 destport gt num 1024
create ipf rule entry ruleid 2 ifname public dir out act accept transprot eq num 6 inifname private
create ipf rule entry ruleid 10 ifname public dir out act accept transprot eq num 17 srcport gt num 1024 destport eq num 53
create ipf rule entry ruleid 11 ifname public dir in act accept transprot eq num 17 srcport eq num 53 destport gt num 1024
create ipf rule entry ruleid 12 ifname public dir out act accept transprot eq num 17 srcport eq num 123 destport eq num 123
create ipf rule entry ruleid 13 ifname public dir in act accept transprot eq num 17 srcport eq num 123 destport eq num 123
create ipf rule entry ruleid 49 ifname private dir in act accept destaddr eq 192.168.1.1 transprot eq num 6 destport eq num 23 disable
create ipf rule entry ruleid 50 ifname private dir in destaddr eq 192.168.1.1 transprot eq num 6 destport neq num 80
create ipf rule entry ruleid 59 ifname private dir in act accept destaddr eq 192.168.1.1 transprot eq num 17 destport eq num 69 disable
create ipf rule entry ruleid 60 ifname private dir in destaddr eq 192.168.1.1 transprot eq num 17 destport neq num 53
create ipf rule entry ruleid 70 ifname private dir in destaddr eq 192.168.1.1 transprot eq num 1
由于我的一台PC上有FTP服务，所以增加了以下的一条RDR地址转换和一条允许向内FTP防问的规则，如果提供其他服务，则要做相应的设置：
create nat rule entry ruleid 21 rdr prot num 6 ifname ppp-0 lcladdrfrom 192.168.1.4 lcladdrto 192.168.1.4 destportfrom num 21 destportto num 21 lclport num 21
create ipf rule entry ruleid 6 ifname public dir in act accept transprot eq num 6 destport eq num 21
为了能对内部FTP服务器进行PASV方式访问，还增加了以下一条RDR地址转换（我的FTP服务器中设定PASV守护端口为10241到10245）：
create nat rule entry ruleid 10241 rdr prot num 6 ifname ppp-0 lcladdrfrom 192.168.1.4 lcladdrto 192.168.1.4 destportfrom num 10241 destportto num 10245
最后将public、DMZ设为Deny，将Private设为Accept，将Security Level设为Low。
对于以上过滤规则，之所以这么设定，是为了使MODEM的效率达到最高，并确保尽量安全：
1、对于我们的大部份应用，均是内部PC以大于1024的TCP端口对外访问，如访问FTP、WEB页面、BT下载等等，而且ADSL的下传速度大于上传速度，所以第1、2二条规则可用来确保以最快的速度访问因特网。同时，第二条只指定了从内部向外的所有TCP连接，一方面是为了方便增加内部TCP服务（如FTP），另一方面，我们并没有允许从MODEM向外发送任何数据，这意味着没有允许外部IP访问MODEM；
2、第10、11二条规则声明了对外UPD53端口连接（DNS），注意到第10条允许MODEM和内部PC直接对外进行DNS访问，因为当使用MODEM作为局域网的DHCP服务器时，内部PC可将MODEM作为DNS服务器，而MODEM将通过建立连接时获得的DNS服务器地址进行域名解析；
3、第12、13条是为sntp而设，同样考虑了MODEM的时间同步问题；
4、第50条禁止了从内部网对MODEM以太网口除80端口外的所有TCP访问。这是设定在内部接口上的，由于指定了目标IP，不会影响到我们的正常访问因特网。
5、如果我们还想通过telnet访问MODEM，则必须将第49条规则置为有效，因为在编号小的规则更优先，所有条49条有效时，不会因为第50条而禁止telnet访问MODEM。
6、第60、59的意见与上面的相似，只不过定义的是UDP协议和DNS服务。而只有在第59条enable状态下才能对MODEN进行TFTP升级FW。
7、每70条的作用是禁止所有ICMP，无休止的PING也能使用MODEM口止工作。
8、如果有人想使安全性更高，则可在内部接口增加一个较小编号（如40）的规则，定义“禁止所有目标IP等于192.168.1.1，原IP不等于指定IP的any连接（包含TCP、UDP、ICMP）”
细心的朋友也许问：这么定义，内部PC怎么访问MODEM的DHCP服务？请放心，DHCP不走TCP/IP协义，IP Filter不能禁止此访问。
[/watermark]

自由的云 · 发表于 2004-4-12 02:41:09

哇！！
好厉害！！
太感谢了！党和人民感谢你啊！！

wenqi · 发表于 2004-4-12 17:26:20

[这个贴子最后由wenqi在 2004/04/12 05:31pm 第 1 次编辑]

强贴!
不过一时半会还真没看明白,研究中...
alanlql兄的第一篇精华贴,可喜可贺!!!

wenqi · 发表于 2004-4-12 17:27:32

alanlql兄, 能不能传张图上来啊

wenqi · 发表于 2004-4-12 18:21:14

如此强贴
我焉能让它石沉大海...

wenqi · 发表于 2004-4-12 18:54:19

顶!!!

wenqi · 发表于 2004-4-12 19:23:49

[这个贴子最后由wenqi在 2004/04/13 01:49am 第 6 次编辑]

[color=#DC143C]
create ipf rule entry  创建IP过滤规则条目
rule id 1  规则ID:1
ifname public  接口:public
dir in  方向:incoming(进来)
act accept  动作:accept(接受)
transport eq num 6  协议=TCP
destport gt num 1024 目标端口>1024

规则1:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)TCP协议(2)目标端口>1024.
规则2:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)TCP协议(2)IN I/F=Private.
规则10:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口>1024(3)目标端口=53.
规则11:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=53(3)目标端口>1024.
规则12:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=123(3)目标端口=123.
规则13:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=123(3)目标端口=123.
  P.S:规则12 13是为SNTP而设,考虑的是猫的时间同步问题.
规则49:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)TCP协议(3)目标端口=23.
  P.S:允许内网访问猫的23端口(telnet).
规则50:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Deny(拒绝):(1)目标地址是192.168.1.1(2)TCP协议(3)目标端口≠80.
  P.S:只允许内网访问猫的80端口(web).
规则59:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)UDP协议(3)目标端口=69.
  P.S:允许内网访问猫的69端口(tftp).
规则60:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)UDP协议(3)目标端口=53.
  P.S:允许内网访问猫的53端口(DNS).
规则70:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)?协议.

alanlql · 发表于 2004-4-12 21:09:24

实际上，整行的命令可稍作修改后通过telnet方式贴到modem中，这是最方便的方法。

BOYMZJ · 发表于 2004-4-12 21:27:24

[这个贴子最后由BOYMZJ在 2004/04/12 09:44pm 第 1 次编辑]

好啊！学习！只是transport eq num 6 不太理解.我的猫里没有这个transport啊!后面transprot eq num 17也不懂,能讲下吗?

冬天不要砍树 · 发表于 2004-4-12 21:30:29

ding

账号		自动登录	找回密码
密码			立即注册