[原创]华硕MODEM的IP Filter设定技巧

goingchan · 发表于 2004-4-12 23:23:32

下面引用由BOYMZJ在 2004/04/12 09:27pm 发表的内容：
好啊！学习！只是transport eq num 6 不太理解.我的猫里没有这个transport啊!后面transprot eq num 17也不懂,能讲下吗?

指定协议而已，不同版本的FW命令会稍有不同，最终以FW的说明为准

BOYMZJ · 发表于 2004-4-12 23:33:57

transport eq num 6 就是tcp协议吗？transprot eq num 17是什么协议？UDP吗？
再请问一下，FW的说明在哪里可以找到？

wenqi · 发表于 2004-4-13 00:59:35

下面引用由BOYMZJ在 2004/04/12 11:33pm 发表的内容：
transport eq num 6 就是tcp协议吗？transprot eq num 17是什么协议？UDP吗？
再请问一下，FW的说明在哪里可以找到？

Vking的说明书
http://www.solwiseforum.co.uk/downloads/files/110quicksetup-versolwise.pdf

wenqi · 发表于 2004-4-13 02:41:40

[这个贴子最后由wenqi在 2004/04/13 02:42am 第 1 次编辑]

alanlql兄,读了你的贴子后,深感获益良多!也因此产生了一些想法和困惑,盼指教:
1.关于端口.
官方资料(http://www.iana.org/assignments/port-numbers).端口分为3个范围:知名端口(0~1023),注册端口(1024~49151),动态或私有端口(49152~65535).从官方资料,我们也可以看出,端口49152~65535目前完全没有使用.
微软操作系统自身具有一些不安全的特性.Windows喜欢在1023之上开放一些端口,grc网站建议我们屏蔽0~1055端口.具体详细情况,请访问http://www.grc.com/default.htm,点击 ShieldsUP!.
(P.S:该网站还提供了对0~1055端口的在线扫描.)
基于以上考虑,我认为我们可以对外网开放的端口范围是1056~49151.
2.在规则1,2的基础上,还可以加上一条备用的规则3,供有需要的人选用.
create ipf rule entry ruleid 3 ifname public dir in act accept transport eq num 17 desport range from 1056 to 49151
如网络游戏泡泡堂需要开放UDP端口.
3.规则11,还可以指定源IP为当地的DNS(如202.102.12.141),这样似乎更严格.
create ipf rule entry ruleid 11 ifname public dir in act accept srcaddr eq 202.102.12.141 transport eq num 17 srcport eq num 53 destport range from 1056 to 49151
有错误和不对的地方,恳请不吝指教!!!

BOYMZJ · 发表于 2004-4-13 02:50:13

谢谢wenqi！我看一下。下面的问题能讲一下吗？transport eq num 6 大概就是设置上图中的procotol吧，等于tcp或udp我是懂的，但是等于某个数字是什么意思呢？transport eq num 17这是什么协议呢？请教！

wenqi · 发表于 2004-4-13 03:12:05

下面引用由BOYMZJ在 2004/04/13 02:50am 发表的内容：
谢谢wenqi！我看一下。下面的问题能讲一下吗？transport eq num 6 大概就是设置上图中的procotol吧，等于tcp或udp我是懂的，但是等于某个数字是什么意思呢？transport eq num 17这是什么协议呢？请教！

看11楼!
transport(协议) eq(等于) num 6(第6) ,具体指什么协议,取决于具体的猫具体的FW,在本贴里transport eq num 6 应该是指 TCP协议, 17应该是指 UDP协议,其实你可以看看楼主alanql兄的详细解释(不是太好懂,但是很准确.).

goingchan · 发表于 2004-4-13 03:48:04

规则并不越严格越好。。。多考虑一下效能问题。。。viking的性能不是那么强的。。。
还是那句，按需配置

alanlql · 发表于 2004-4-13 04:14:43

下面引用由wenqi在 2004/04/13 02:41am 发表的内容：
alanlql兄,读了你的贴子后,深感获益良多!也因此产生了一些想法和困惑,盼指教:
1.关于端口.
官方资料(http://www.iana.org/assignments/port-numbers).端口分为3个范围:知名端口(0~1023),注册端口(1024~49151),动 ...

首先，我认为最高端的范围是自由使用的范围，我们的MODEM中WEB配置端口要么定义为80，要么就定义为61000~62000中的一个，这正好在高段范围内。
我们平时访问网络时，系统会在中段范围内找一个未使用的端口对外建连接，如果把IP过滤中允许的端口范围低端改为1056，则会在开机后的最开始阶段无法访问网络，而且，如果主机24小时开机，当系统使用到中段最大值时又会回到1024开始查找未用端口，这样还会有无法访问网络的问题。
至于开放UDP端口，最好严格一点，我对UPD上的应用不太了解，但我了解的情况是许多木马程序喜欢使用UDP协议。
对于WINDOWS中开放1024以上服务，微软的目的可能也是想绕过网络上众多的IP过滤，这也正是WINDOWS系统不安全的重要原因，所以我尽量用MODEM的路由方式，因为没有NAT，局域网上的PC不容易受到外来攻击，而对于MODEM本身来说，我们必须要开放的服务端口非常有限，安全性容易得到控制。
有关DNS的问题，因为我要使用MODEM的DHCP服务，局域网上的PC需要把ADSL MODEM作为DNS服务器，而MODEM要通过电信的DNS服务进行解析，MODEM是在建立PPP连接时得到电信的主、备DNS服务器地址的，我发现这个地址经常会变，如果在过滤中定为固定地址，则一旦建立PPP连接时获的DNS地址发生改变，使用DHCP的PC就无法进行域名解析，从而只能使用QQ之类软件而不能访问WEB页面了。

alanlql · 发表于 2004-4-13 04:24:27

[这个贴子最后由alanlql在 2004/04/13 04:26am 第 1 次编辑]

下面引用由goingchan在 2004/04/13 03:48am 发表的内容：
规则并不越严格越好。。。多考虑一下效能问题。。。viking的性能不是那么强的。。。
还是那句，按需配置

访问列表的规则是在找到第一个满足条件的列表项后即终止继续查找后面的列表项而直接执行指定的操作。这就是说我们要把有大量数据包需要满足的条件放在最前面，规则的顺序显得非常重要。如果90%以上的数据包在核对第一条规则时就已确定了是继续传送还是丢弃，后面即使用有100条规则又有何关系？还有比这更高的效率吗？

wenqi · 发表于 2004-4-13 05:26:01

下面引用由alanlql在 2004/04/13 04:24am 发表的内容：
访问列表的规则是在找到第一个满足条件的列表项后即终止继续查找后面的列表项而直接执行指定的操作。这就是说我们要把有大量数据包需要满足的条件放在最前面，规则的顺序显得非常重要。如果90%以上的数据包在核　...

完全赞成,规则1 2的设定也很好的体现了这一点.

账号		自动登录	找回密码
密码			注册