[原创]华硕MODEM的IP Filter设定技巧

goingchan

下面引用由alanlql在 2004/04/13 04:24am 发表的内容：
访问列表的规则是在找到第一个满足条件的列表项后即终止继续查找后面的列表项而直接执行指定的操作。这就是说我们要把有大量数据包需要满足的条件放在最前面，规则的顺序显得非常重要。如果90%以上的数据包在核　...

首先，运行规则多必然占内存多，容易影响NAT的工作
第二，既然是注重防御的规则，针对相当一部分的扫描是ICMP及windows服务的扫描，该规则明显在受扫描/攻击的状况下效率不高

kenji1029

谢谢楼主提供教程
有疑问的一个问题：53端口的UDP（DNS）会攻击常用端口（1～1024）吗？

goingchan

下面引用由kenji1029在 2004/04/13 09:53am 发表的内容：
谢谢楼主提供教程
有疑问的一个问题：53端口的UDP（DNS）会攻击常用端口（1～1024）吗？

可以。。。有人想这么做的话

kenji1029

下面引用由goingchan在 2004/04/13 09:58am 发表的内容：
可以。。。有人想这么做的话

原来如此，真恐怖||||
常用端口向外到53端口与所有端口向外到所有端口有什么区别？指是UDP
这不是受攻击

goingchan

下面引用由kenji1029在 2004/04/13 10:06am 发表的内容：
原来如此，真恐怖||||
常用端口向外到53端口与所有端口向外到所有端口有什么区别？指是UDP
这不是受攻击

只要连上网，被攻击/扫描（大部分是扫描）是必然的。。。防火墙等东西只是能防范已知的攻击手段，没有绝对安全的。。。安全问题要考虑，但不需过虑。

alanlql

下面引用由goingchan在 2004/04/13 09:44am 发表的内容：
首先，运行规则多必然占内存多，容易影响NAT的工作
第二，既然是注重防御的规则，针对相当一部分的扫描是ICMP及windows服务的扫描，该规则明显在受扫描/攻击的状况下效率不高

以下是我个人在写第一贴时之所以这样编写这些规则的解释：
首先，启用IP Filter后，只有一个进程在MODEM中运行，此进程在接收到数据包后在配置的规则列表中以从小到大的顺序查找符全条件的规则，一旦找到就按照此条规则的要求处理数据包，否则再找下一条，如果所有规则都不满足条件，则执行最上面的全局设定。每增加一条规则所消耗的资源还是不太多的。除非大部份数据包必须经过许多条规则才能找到匹配的规则项。实际上IP过滤只处理包头部份很少的数据，而且规则定义明确，许多MODEM缺省启用的规则就有二、三十条，我认为不超过二十条规则不会有太大的问题，我们的ADSL下载最大才8M，数据量不可能太大的。
第二，在我们定义的规则中没有允许ICMP包在public接口上通过的规则，而缺省动作又是Deny，这就意味着因特网上是无法PING到我们的MODEM和内网上的主机的，即使使用了BIMAP的NAT也是如此。而在局域网上，我们在最后一条规则中禁止了所有ICMP协义访问MODEM的局域网IP地址；
如果用WINDOWS的服务扫描MODEM的以太网IP，除了UDP 53和TCP 80外，得到的结果都不会是打开状态，这就够了。
其实，最上面的规则列表确实还有改进的地方，今天考虑了一下，觉得如果在局域网上对MODEM的广域网IP访问，会因为缺省动作Accept而进入MODEM，解决的办法是将目标地址（局或网IP）改为self地址，另外可以在最后增加一条处于Private接口上的Deny所有目标IP为广播地址的Incoming数据包。
因为private上的所有过滤规则对于所有访问因特网的数据包全部需要过一遍，所以启用的条数应尽量少，每条规则也不应太复杂。

alanlql

下面引用由kenji1029在 2004/04/13 09:53am 发表的内容：
谢谢楼主提供教程
有疑问的一个问题：53端口的UDP（DNS）会攻击常用端口（1～1024）吗？

UDP端口只能和UPD端口连接。
一般意义上的功攻击是指某客户端对你的服务进程进行不正常的访问，导至你的服务器不能担供正常的服务，或者攻击者提一个网站，在有人访问这个网站时将木马（一个专作的服务程序）安装到客户方（比如3721、FLASH客户端的安装方式），以便下次可以访问来访者的PC（黑客称之为肉机）。
有了合适的过滤列列表，可以禁止因特网上的木马客户端来访问位于局域网上PC上的木马服务程序，从而保护我们的PC。但如果对方对我们的MODEM广域网地址发送超限量的连接包，也会导至连接中断，但这种攻击方式较少见，因为攻击方除了破坏之外，无利可图。利用最上面的列表，因特网上的PC是不会以53端口的UDP（DNS）攻击处于内网的PC的常用端口（1～1024）吗？但是可以以TCP的方式攻击大于1024的端口，而木马一般使用大于1024的端日，所以不建议使用BIMAP方式的NAT。

goingchan

由于NAT的阻隔，外部不可能直接连接到网内的PC，在性能比较低下的modem上使用高强度的过滤来防御对内网的攻击只是增加modem的不稳定性而已。重点还是放在对modem本身的防御比较好(IP地址用self参数基本能解决)，针对内网的攻击有PC上的防火墙防御。
至于说防范木马，木马使用的端口灵活性很大，连接方式的灵活性也很大，那些规则的强度也不足以应付，还不如加强PC上的防御实际，而且还能减轻体虚的modem的负担。
这些modem是始终家用级的产品，如果那些规则是用在专门的防火墙产品上的话，没什么问题(在华硕的SL系列上跑也可以)，但用在这家用级的东西上跑，就有点虐待modem了。

wenqi

[这个贴子最后由wenqi在 2004/04/13 07:56pm 第 1 次编辑]

继续研究学习中...
顶!

kulala

太专业乐~~正在消化