[这个贴子最后由wenqi在 2004/04/13 02:42am 第 1 次编辑]
alanlql兄,读了你的贴子后,深感获益良多!也因此产生了一些想法和困惑,盼指教:
1.关于端口.
官方资料(http://www.iana.org/assignments/port-numbers).端口分为3个范围:知名端口(0~1023),注册端口(1024~49151),动态或私有端口(49152~65535).从官方资料,我们也可以看出,端口49152~65535目前完全没有使用.
微软操作系统自身具有一些不安全的特性.Windows喜欢在1023之上开放一些端口,grc网站建议我们屏蔽0~1055端口.具体详细情况,请访问http://www.grc.com/default.htm,点击 ShieldsUP!.
(P.S:该网站还提供了对0~1055端口的在线扫描.)
基于以上考虑,我认为我们可以对外网开放的端口范围是1056~49151.
2.在规则1,2的基础上,还可以加上一条备用的规则3,供有需要的人选用.
create ipf rule entry ruleid 3 ifname public dir in act accept transport eq num 17 desport range from 1056 to 49151
如网络游戏泡泡堂需要开放UDP端口.
3.规则11,还可以指定源IP为当地的DNS(如202.102.12.141),这样似乎更严格.
create ipf rule entry ruleid 11 ifname public dir in act accept srcaddr eq 202.102.12.141 transport eq num 17 srcport eq num 53 destport range from 1056 to 49151
有错误和不对的地方,恳请不吝指教!!!
|