[求助]帮忙解析一条IP过滤的实例

xiaohao · 发表于 2004-4-27 04:16:17

请详细解析一下上图的IP规则。
谢谢！

goingchan · 发表于 2004-4-27 10:29:33

允许访问DNS服务

xiaohao · 发表于 2004-4-27 14:08:05

goingchan
你好！
按你的回答：明白53端口是DNS的。
我先说一下我的理解。
不对请帮忙解析，谢谢！
图中的规则
I/F是private来看是定义内部的，就是说从路由器到PC的。
至于apply stateful inspection我不了解是什么意思。请高手指教！
outgoing表示从路由器流到PC的数据方向。
accept表示接受。
DMZ：就不是很明白。（为什么要用这个？用其他的不可以吗？）

alanlql · 发表于 2004-4-27 16:45:54

I/F是private：此条规则定义于MODEM的内部接口上（以太口），数据包在经过MODEM的其他端口时不接受此条规则检查；
apply stateful inspection：接受状态检查，即区分是否为SYN数据包（建立连接同步数据包）；
Direction为Outgoing：此参数与I/F同时考虑，表示在private接口上离开MODEM的数据包；
Rule Action为Accept：对于符合此条规则所有条件的数据包进行的操作，这里指定允许通过，否则找下一条规则进行检查，如果没有下一条规则，则执行I/F（private）接口的全局定义操作（在最上边）；
In I/F为DMZ：此参数对于Direction为Outgoing的规则才有效，指定数据包从何而来，这里指定从DMZ接口来。对于AAM6000EV/G3而言，没有这个接口，所以定义这条规则实际上不但没有意义，而且会使所有数据多接受一道关卡的检查，应该删此条规则。

goingchan · 发表于 2004-4-27 16:50:50

I/F是private来看是定义内部的，就是说从路由器到PC的。
-->I/F是interface，private是指路由器上的面向内部的那个接口，如eth-0
至于apply stateful inspection我不了解是什么意思。请高手指教！
-->apply stateful inspection，比较准确的意思是应用状态监控，合理使用该选项能以较少的规则控制单向访问
outgoing表示从路由器流到PC的数据方向。
-->对private接口来说是这样
accept表示接受。
-->是，或者说允许通过比较准确
DMZ：就不是很明白。（为什么要用这个？用其他的不可以吗？）
-->由于modem上物理接口只有两个，DMZ基本上是摆设。。。(不过，用veth的时候还是有点可用的地方)

goingchan · 发表于 2004-4-27 16:53:13

下面引用由alanlql在 2004/04/27 04:45pm 发表的内容：
I/F是private：此条规则定义于MODEM的内部接口上（以太口），数据包在经过MODEM的其他端口时不接受此条规则检查；
apply stateful inspection：接受状态检查，即区分是否为SYN数据包（建立连接同步数据包）；
Di ...

是否SYN是由TCP Flag控制

xiaohao · 发表于 2004-4-27 16:57:16

谢谢 alanlql ！
DMZ接口是指哪的接口呢？是做了DMZ的ＰＣ机的接口？
apply stateful inspection：有什么作用呢？什么时候要选它？什么时候不选？

alanlql · 发表于 2004-4-27 16:57:17

联机帮助中是这么说的：
Apply Stateful Inspection: When this option is enabled, packets are monitored for their state (i.e., whether a packet is the initiating packet or a subsequent packet in an ongoing communication, etc). This option provides a degree of security by blocking/dropping packets that are not received in the anticipated state. Such packets can signify an unwelcome attempt to gain access to a network.

alanlql · 发表于 2004-4-27 16:59:07

下面引用由xiaohao在 2004/04/27 04:57pm 发表的内容：
谢谢 alanlql ！
DMZ接口是指哪的接口呢？是做了DMZ的ＰＣ机的接口？
apply stateful inspection：有什么作用呢？什么时候要选它？什么时候不选？

一般防火墙上有此端口，一般用于接公司因特网发布服务器，如WEB服务器、MAIL服务器等。

alanlql · 发表于 2004-4-27 17:03:00

有关DMZ，联机帮助中这么说：
The term DMZ (de-militarized zone), in Internet networking terms, refers to computers that are available for both public and in-network accesses (such as a company';s public Web server). Packets received on a DMZ interface -- whether from a LAN or external source -- are subject to a set of protections that is in between public and private interfaces in terms of restrictiveness. The global setting for DMZ-type interfaces may be set to Deny so that all attempts to access these servers are denied by default; the administrator may then configure IP Filter rules to allow accesses of certain types.

账号		自动登录	找回密码
密码			立即注册

[求助]帮忙解析一条IP过滤的实例