http://www.speedtouch.net.nz/
http://www.speedtouch.net.nz/st510r3.htm
? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗?
作者:
标题: SpeedTouch 511e 可以限制局域网的某一台ip上网吗? 上一主题 | 下一主题
烽火台
新手上路
积分 4
发贴 4
注册 2005-1-15
状态 离线
SpeedTouch 511e 可以限制局域网的某一台ip上网吗?
SpeedTouch 511e 可以限制局域网的某一台ip上网吗?
2005-1-15 11:36
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
用防火墙规则就行了,看精华区关于防火墙的介绍,比如限制10.0.0.1,加一条这样的规则:
:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=drop
个人主页:
http://ebc.r8.org
2005-1-15 12:27
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
烽火台
新手上路
积分 4
发贴 4
注册 2005-1-15
状态 离线
看了好久才明白一点 谢谢 ebc
2005-1-15 14:28
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
小混
新手上路
积分 6
发贴 6
注册 2005-12-20
状态 离线
那要重新开启10.0.0.1上网呢
2006-3-9 23:31
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
把那条规则删掉,看cli文档,可以用telnet操作,也可以在带cli功能的744 firmware的web界面里操作。
个人主页:
http://ebc.r8.org
2006-3-10 09:27
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
论坛跳转:
自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗?
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
========================
? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了
作者:
标题: 利用firewall禁止广东互联星空了 上一主题 | 下一主题
ALCATELUSER
高级会员
积分 146
发贴 146
注册 2004-3-12
状态 离线
利用firewall禁止广东互联星空了
可恶的互联星空,竟然不要密码就能上去消费。
我这里是几家共享的,不知是不是其它有人上过互联星空,结果是被扣了。
已打电话给10000,要求停止这种无耻行为,立即停掉连密码都不用就可以消费的一点通,当然其它的消费也是要取消的。因为这个网上消费功能是未经我同意就自动开通的。
电信真是无耻啊。
呼吁用ADSL的用户,立即至电10000,取消这种消费功能。
我对他们说了,如果你们的这种行为是合法的,那么,银行也可以自动开通消费实名制:只要你开办了银行卡,就自动开通这种"方便用户"的消费实名制,即,以后买东西时,只要大声说出你的名字就可以交费了。
当然,我自己先禁止上这个网了,因为我不能确定这个消费不是内部网中其它人的消费。这次算我的了吧。我交这个费得了。但以后不能再上这个什么星空了。
1. 在CMD窗口中输入ping gd.chinavnet.com,得到要禁止上的网的IP,这里得到的是61.145.125.229
2. telnet 10.0.0.138,进入ADSL后,输入用户名和密码
3. 按顺序输入以下:
firewall
chain create chain="yyy"
rule create chain=yyy index=0 src=61.145.125.229 action=drop
assign hook=input chain="yyy"
:config save
哈哈,搞定了。
注意:我在输入时,曾打错了字,系统显示无效命令,我重输入后倒是正常了。但这里猫也死了,无法上网。我是重新开猫电源后,又才能上网的。
谢谢这个网站了。谢谢EBC,谢谢lwx129
[ Last edited by ALCATELUSER on 2006-1-28 at 09:01 ]
2006-1-23 06:38 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
个人主页:
http://ebc.r8.org
2006-1-23 08:37 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ALCATELUSER
高级会员
积分 146
发贴 146
注册 2004-3-12
状态 离线
再想请教EBC:
我想通过修改user.ini,来增加防火墙规则,然后再上传。但发现user.ini中有:
[ nat.ini ]
bind application=H323 port=1720
bind application=FTP port=ftp
bind application=RTSP port=554
bind application=RAUDIO(PNA) port=7070
bind application=ils port=ldap
bind application=ils port=1002
enable addr=219.1xx.xx.xxx type=pat
其中的,219.1xx.xx.xxx 是此时动态分配给我的IP。
如果我修改ini文件后,再上传,如果此时重新分配IP了,这时会不会产生什么问题呢?
谢谢!
2006-1-23 10:20 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ALCATELUSER
高级会员
积分 146
发贴 146
注册 2004-3-12
状态 离线
这个狗吃的星空,在网站说明里有注销用户的地方,可是我进去看了,注销的按钮都没有了,都不知道如果才能注销了。
真他妈的无耻!
2006-1-23 11:33 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]
论坛跳转:
自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
===================
? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?
<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
各位有没有设置过里面的firewall?
近来没事干,想玩玩510plus里面的firewall,我查到边锋游戏的ip地址是218.104.136.6,port是4000,想把局域网里的边锋游戏禁掉,命令如下:
chain create chain="lwx"
rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop
assign hook=input chain="lwx"
但没用效果,不知哪里有问题,请各位帮忙。谢谢!!
2003-5-22 04:02 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
gyp2000
超级版主
积分 305
发贴 275
注册 2003-4-2
状态 离线
防火墙不是这样玩的~~~呵呵
2003-5-22 04:13 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
大哥快帮忙,教我一招呀!!感激不尽!!
2003-5-22 04:51 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
这个嘛,有时间我也研究研究,确实比较复杂。gyp2000最好写编教程。。。
个人主页:
http://ebc.r8.org
2003-5-22 08:48 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
firewall assign命令解释.
语法:
firlwall assign hook=<{input|sink|forward|source}> chain=
作用:给一入口点(entry point)分配关联(chain),这里的入口点又称为钩子(hook)或包拦截点(PIP)是指跟据关联(chain)中指定的约束规则来拦截包的位置.主要有以下四种入口点:
input:该点决定包是否允许到达SpeedTouch路由器,或本地主机。
sink:信息寻址点,将自己指向SpeedTouch路由器,或本地主机。该点决定是否允许包找到SpeedTouch路由器,或本地主机。
forward:信息出发点,该点决定是否允许信息从SpeedTouch路由器,或本地主机处理,比如路由。
source:该点决定是否允许信息从本地主机离开。
output:该点决定是否允许信息从SpeedTouch路由器,或本地主机离开。
-----------------------------------------------------------------------------------
翻译了这些,不知所云呀。
2003-5-22 10:32 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
等一下我帮你解释。。。
个人主页:
http://ebc.r8.org
2003-5-23 08:44 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
谢谢!!!
等待中。。。。。。。。。
2003-5-23 09:13 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
法国人的解释:
http://www.forpage.com/forum/vie ... um=17&3&start%203D0
我也没完全明白,呵呵。。。
首先把它们看作五个点,称为hook。
input:表示进来的数据包怎么处理。
sink:表示各个方向专门奔路由器去的数据包怎么处理。
forward:表示全部要路由器转送的数据包怎么处理。
source:表示全部源自于路由器的数据包怎么处理。
output:表示全部出去的数据包怎么处理。
注意input、output是相对而言,可以从内网这边看,也可以从外网那边看,主要看源跟目标是什么。
数据流的图如下:
本贴包含图片附件:
点击查看全图
个人主页:
http://ebc.r8.org
2003-5-23 11:06 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
Quote:
chain create chain="lwx"
rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop
assign hook=input chain="lwx"
问题在你没有跟5个拦截点挂勾,究竟工作模式是source、sink、input、output、forward中的那一个呢?
比如首先要assign,比如这样:
[ pfirewall.ini ]
assign hook=forward chain=lwx
然后再create,比如这样:
[ pfilter.ini ]
chain delete chain=lwx
chain create chain=lwx
然后才是写rule,比如你这样:
rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop
然后还不知道你写的rule对不对,呵呵。。。你的规则看上去,似乎是所有内网的电脑不能连到外网的218.104.136.6 ip,协议是tcp,口是4000,但有没有疏漏,我也不清楚,你试一下通过上面的设置行不行就知道了。
个人主页:
http://ebc.r8.org
2003-5-24 07:00 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
一般预设置防火墙的标准格式是这样,在telnet里输入:
firewall
chain create chain=INPUT
chain create chain=SINK
chain create chain=FORWARD
chain create chain=SOURCE
chain create chain=OUTPUT
assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT
chain save
save
:config save
个人觉得没必要自己起个chain的名称,就直接引用那五个大写的名称就可以了,直观,知道是跟什么"点"挂勾。
个人主页:
http://ebc.r8.org
2003-5-24 07:20 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
下面我根据自己的理解,解释一下防火墙的设置:
首先说一下是,防火墙是内置在modem的firmware里面,过滤内网(lan)、外网(internet)两个方向的数据包用的。
设置一般通过telnet设置,你也可以写进user.ini文件这样设置。
数据包以"流"的方式通过modem(路由器)。
数据包精确的通过五个"拦载点"被控制,称为hook(勾)。
它们分别是:
input:表示进来的数据包怎么处理。
sink:表示各个方向只针对路由器本身去的数据包怎么处理。
forward:表示全部要路由器在外网、内网间转送处理的数据包怎么处理。
source:表示全部只源出于路由器本身的数据包怎么处理。
output:表示全部出去的数据包怎么处理。
三个不同方向的流如下图所示:
流的方向不是由物理接口,而是由源跟目标的需要决定的。
比如这样:
内网要出去的时候,内网就被定义成input,外网被定义成output。
而外网要进来的时候,外网就被定义成input,内网被定义成output。
我理解的是,一条rule,用input的"勾"也可以写,用output的"勾"也可以写,只要源跟目标对调一下就行了,不知道是不是这样。
to be continue。。。
个人主页:
http://ebc.r8.org
2003-5-24 07:42 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
说得很细,谢谢!!可我还是有点不太清楚,特别是这个点是设在哪里。是内网lan?外网wan?还是local,还是!wan,!lan,还有优先级别问题,比如有好几个关于input的chain,在我的ADSL里是用INDEX0,INDEX1来标记的,它们是按顺序生效的吗?说明书上有个例子是封掉所有的连接,并只开一个与外网的(网址为200.20.20.1)Telnet通信的防火墙,如下:
firewall chain create chain=Telnet
firewall rule create chain=Telnet src=10.0.0.0/8 dst=200.20.20.1 srcintfgrp=lan prot=tcp srcport=1024 srcportend=65535 dstport=23 action=accept
firewall rule create chain=Telnet src=200.20.20.1 dst=192.6.11.10 srcintfgrp=wan prot=tcp srcport=23 dstport=1024 dstportend=65535 ack=yes action=accept //这里的192.6.11.10是nat转换IP地址。
firewall rule create chain=Telnet action=drop
firewall assign hook=input chain=Telnet
反过来,如果打开所有连接,只封掉与这个Telnet通信又如何设置?
2003-5-24 11:31 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
我有点忙,明天根据法国人的解释结合实例再中文解释一下。。。
个人主页:
http://ebc.r8.org
2003-5-24 02:44 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
gyp2000
超级版主
积分 305
发贴 275
注册 2003-4-2
状态 离线
防火墙的规则和书写方式
先初始化防火墙
[ pfilter.ini ] (这个要在最前面)
chain delete chain=sink ;
chain create chain=sink
chain delete chain=forward
chain create chain=forward
chain delete chain=source
chain create chain=source
Show sfirewall rule create chain = ; 规则名字
[index = ] ;规则序号
[srcintf [!]= ] ;源定义网卡名
[srcintfgrp [!]= <{wan|local|lan}>] ;源定义网卡名
[srcbridgeport [!]= ] ;定义端口
[src [!]= ] ;源IP
[srcmsk = ] ;源IP 子网掩码
[dstintf [!]= ] ;定义目标网卡
[dstintfgrp [!]= <{wan|local|lan}>] ;定义目标网卡
[dst [!]= ] ;目标IP
[dstmsk = ] ;目标IP 子网掩码
[tos [!]= ] ;包寿命
[prot [!]= <{tcp|udp|icmp|protocol}>] ;端口协议
[syn ] ;SYN标志位
[urg ] ;URG标志位
[ack ] ;ACK标志位
[srcport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;源起始端口
[srcportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;源结束端口
[dstport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;目标起始端口
[dstportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;目标结束端口
[icmptype [!]= <{echo-reply|destination-unreachable|source-quench|
redirect|echo-request|router-advertisement|
router-solicitation|time-exceeded|parameter-problems|
timestamp-request|timestamp-reply|
information-request|information-reply|
address-mask-request|address-mask-reply|
icmpnumber}>]
[icmpcode [!]= ] ;起始icmp
[icmpcodeend = ] ;结束icmp
[clink ]
action <{accept|deny|drop|count}> ;|接受|拒绝|丢弃|count
列:
rule create chain=sink index=0 srcintf=eth0 srcbridgeport=1 action=accept
rule create chain=sink index=1 srcintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的?
rule create chain=sink index=2 prot=udp dstport=dns action=accept
rule create chain=sink index=3 prot=udp dstport=68 action=accept
rule create chain=sink index=4 action=drop
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
所有从接口wan 到接口wan 的都拒绝
rule create chain=source index=0 dstintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的?
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=67 action=accept
rule create chain=source index=3 action=drop
2003-5-25 05:08 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
我已成功阻断边锋。
chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chain=lwx index=2 src=61.153.37.222 action=drop
rule create chain=lwx index=3 src=202.101.165.237 action=drop
rule create chain=lwx index=4 src=61.144.56.30 action=drop
rule create chain=lwx index=5 src=61.153.19.101 action=drop
rule create chain=lwx index=6 src=202.98.15.230 action=drop
rule create chain=lwx index=7 src=202.96.75.247 action=drop
rule create chain=lwx index=8 src=202.107.225.55 action=drop
rule create chain=lwx index=9 src=61.153.8.50 action=drop
rule create chain=lwx index=10 src=61.153.198.200 action=drop
rule create chain=lwx index=11 src=218.6.174.184 action=drop
rule create chain=lwx index=12 src=219.235.127.66 action=drop
rule create chain=lwx index=13 src=61.128.97.134 action=drop
rule create chain=lwx index=14 src=61.158.97.35 action=drop
rule create chain=lwx index=15 src=61.138.15.144 action=drop
rule create chain=lwx index=16 src=61.138.15.114 action=drop
rule create chain=lwx index=17 src=218.66.101.14 action=drop
rule create chain=lwx index=18 src=202.107.236.190 action=drop
rule create chain=lwx index=19 src=218.104.136.6 action=drop
rule create chain=lwx index=20 src=202.96.114.245 action=drop
rule create chain=lwx index=21 src=61.241.130.59 action=drop
rule create chain=lwx index=22 src=202.103.190.13 action=drop
rule create chain=lwx index=23 src=211.141.95.76 action=drop
rule create chain=lwx index=24 src=211.90.241.37 action=drop
rule create chain=lwx index=25 src=61.243.222.25 action=drop
rule create chain=lwx index=26 src=211.167.148.203 action=drop
rule create chain=lwx index=27 src=202.101.150.130 action=drop
rule create chain=lwx index=28 src=218.108.248.119 action=drop
rule create chain=lwx index=29 src=218.57.200.21 action=drop
rule create chain=lwx index=30 src=202.98.9.109 action=drop
rule create chain=lwx index=31 src=218.106.241.247 action=drop
rule create chain=lwx index=32 src=61.243.232.20 action=drop
rule create chain=lwx index=33 src=61.153.52.185 action=drop
rule create chain=lwx index=34 src=210.76.63.27 action=drop
rule create chain=lwx index=35 src=211.140.137.125 action=drop
assign hook=input chain="lwx"
2003-5-25 09:06 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
为了更好的写好rule,一定要打好基础,我再次试图形象解释上面gyp2000所说的几种"道具"的定义。
声明:用方括号括住的表示可写可不写,也就是可选项目。
chain: 一个拦截点的载体,表示我这个rule是在那个点上拦截过滤数据包的。
[index]:每个不同的拦截点的chain中,rule各自的起作用的先后顺序,这个不是必须写的,可能不写就按书写顺序,写了后就按它们的数字从小到大排列作用顺序。
[scrintf]:就是数据包来源的接口名。注意,不能用于"拦截点"定义为output的chain,这样可能要纠正我上面所说的input、 output是一样的,只要改源跟目标就可以起相同的效果,看来是有限制的,不然只要input、output其中一个拦截点就够了。
关于接口名,大概是这样,一般local组下的是loop(表示本地主机?)。lan组下的是eth0(表示连路由器的网卡?),如果有多台客户机,有这个条件的在telnet下在ip提示符打iflist看看是否还有eth1、eth2等接口?然后是wan组下的是你用在user.ini里面代表外网接口的名称,就是在[phone.ini]里那个名字。是否还有什么接口就不太清楚了。
[srcintfgrp]:就是上面的源接口的上级,源接口组,某个类型的接口的总称。一般是三个,分别是local、lan、wan。跟上面也一样,不能用于"拦截点"定义为output的chain。
[srcbridgeport]:就是数据包来源的桥接口,是一个0-6之间的数值。在telnet的bridge提示符下执行iflist可以看到都有什么口,我看见有obc、eth0,是什么东东,不太清楚,越来越难理解了,呵呵。。。
[src]:源ip地址或者范围。比如这样写src=10.0.0.1/8,表示从10.0.0.1-10.255.255.254的范围(不知道对不对,呵呵。。。)
[srcmsk]:跟上面ip跟着的/8是一样的,独立在这里写也可以,象上面那样连着写,这里就不用再定义了。
[dstintf]:目标接口名。(跟上面源的对应,请参看前述)
[dstintfgrp]:目标接口组。(跟上面源的对应,请参看前述)
[dst]:目标ip地址或者范围。(跟上面源的对应,请参看前述)
[dstmsk]:跟上面源的对应,请参看前述。
[tos]:数字介于0-255之间,表示由数字所指定的服务类型的ip包是否过滤。服务类型的编号由下面所列的数字决定:
Assigned Internet Protocol Numbers
Decimal Keyword Protocol References
------- ------- -------- ----------
0 Reserved [JBP]
1 ICMP Internet Control Message [RFC792,JBP]
2 IGMP Internet Group Management [RFC1112,JBP]
3 GGP Gateway-to-Gateway [RFC823,MB]
4 IP IP in IP (encasulation) [JBP]
5 ST Stream [RFC1190,IEN119,JWF]
6 TCP Transmission Control [RFC793,JBP]
7 UCL UCL [PK]
8 EGP Exterior Gateway Protocol [RFC888,DLM1]
9 IGP any private interior gateway [JBP]
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741,SC3]
12 PUP PUP [PUP,XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158,JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768,JBP]
18 MUX Multiplexing [IEN90,JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869,RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908,RH6]
28 IRTP Internet Reliable Transaction [RFC938,TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 SEP Sequential Exchange Protocol [JC120]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]
36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [DXP2]
41 SIP Simple Internet Protocol [SXD]
42 SDRP Source Demand Routing Protocol [DXE1]
43 SIP-SR SIP Source Route [SXD]
44 SIP-FRAG SIP Fragment [SXD]
45 IDRP Inter-Domain Routing Protocol [Sue Hares]
46 RSVP Reservation Protocol [Bob Braden]
47 GRE General Routing Encapsulation [Tony Li]
48 MHRP Mobile Host Routing Protocol[David Johnson]
49 BNA BNA [Gary Salamon]
50 SIPP-ESP SIPP Encap Security Payload [Steve Deering]
51 SIPP-AH SIPP Authentication Header [Steve Deering]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NHRP NBMA Next Hop Resolution Protocol
55-60 Unassigned [JBP]
61 any host internal protocol [JBP]
62 CFTP CFTP [CFTP,HCF2]
63 any local network [JBP]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [JBP]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP,ML109]
87 TCF TCF [GAL5]
88 IGRP IGRP [CISCO,GXS]
89 OSPFIGP OSPFIGP [RFC1583,JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RXH1]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [JBP]
100 GMTP GMTP [RXB5]
101-254 Unassigned [JBP]
255 Reserved [JBP]
[prot]:协议名称,一般是三个:tcp、udp、icmp。也可以用上面的表中的数字表示,tcp是6,udp是17,icmp是1。
[syn]:用于看看ip数据包里的syn(同步)标识是yes还是no,决定是否过滤。
[urg]:用于看看ip数据包里的urg(紧急指针,不知道什么东西,呵呵。。。)标识是yes还是no,决定是否过滤。
[ack]:用于看看ip数据包里的ack(应答)标识是yes还是no,决定是否过滤。
[srcport]:源ip端口,不用我说了吧。
[srcportend]:源ip结束端口,可以跟上面的配合指定一个端口范围。
[dstport]:跟上面源的对应,请参看前述。
[dstportend]:跟上面源的对应,请参看前述。
[icmptype]:icmp包的类型,有如下这些:
echo-reply
destination-unreachable
source-quench
redirect
echo-request
router-advertisement
router-solicitation
time-exceeded
parameter-problems
timestamp-request
timestamp-reply
information-request
information-reply
address-mask-request
address-mask-reply
Echo Reply [RFC792]
也可以如下表数字表示:
1 Unassigned [JBP]
2 Unassigned [JBP]
3 Destination Unreachable [RFC792]
4 Source Quench [RFC792]
5 Redirect [RFC792]
6 Alternate Host Address [JBP]
7 Unassigned [JBP]
8 Echo [RFC792]
9 Router Advertisement [RFC1256]
10 Router Selection [RFC1256]
11 Time Exceeded [RFC792]
12 Parameter Problem [RFC792]
13 Timestamp [RFC792]
14 Timestamp Reply [RFC792]
15 Information Request [RFC792]
16 Information Reply [RFC792]
17 Address Mask Request [RFC950]
18 Address Mask Reply [RFC950]
19 Reserved (for Security) [Solo]
20-29 Reserved (for Robustness Experiment) [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32 Mobile Host Redirect [David Johnson]
33 IPv6 Where-Are-You [Bill Simpson]
34 IPv6 I-Am-Here [Bill Simpson]
35 Mobile Registration Request [Bill Simpson]
36 Mobile Registration Reply [Bill Simpson]
37 Domain Name Request [Simpson]
38 Domain Name Reply [Simpson]
39 SKIP [Markson]
40 Photuris [Simpson]
41-255 Reserved
[icmpcode]:是否过滤带有指定的icmpcode的ip数据包,数字从0-15范围。
[icmpcodeend]:icmpcode结束数字,结合上面命令可以设置一个范围。
下面是icmp type中有icmpcode的type:
Type Name Reference
---- ------------------------- ---------
0 Echo Reply [RFC792]
Codes
0 No Code
1 Unassigned [JBP]
2 Unassigned [JBP]
3 Destination Unreachable [RFC792]
Codes
0 Net Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation Needed and Don't Fragment was Set
5 Source Route Failed
6 Destination Network Unknown
7 Destination Host Unknown
8 Source Host Isolated
9 Communication with Destination Network is
Administratively Prohibited
10 Communication with Destination Host is
Administratively Prohibited
11 Destination Network Unreachable for Type of Service
12 Destination Host Unreachable for Type of Service
13 Communication Administratively Prohibited [RFC1812]
14 Host Precedence Violation [RFC1812]
15 Precedence cutoff in effect [RFC1812]
4 Source Quench [RFC792]
Codes
0 No Code
5 Redirect [RFC792]
Codes
0 Redirect Datagram for the Network (or subnet)
1 Redirect Datagram for the Host
2 Redirect Datagram for the Type of Service and Network
3 Redirect Datagram for the Type of Service and Host
6 Alternate Host Address [JBP]
Codes
0 Alternate Address for Host
7 Unassigned [JBP]
8 Echo [RFC792]
Codes
0 No Code
9 Router Advertisement [RFC1256]
Codes
0 No Code
10 Router Selection [RFC1256]
Codes
0 No Code
11 Time Exceeded [RFC792]
Codes
0 Time to Live exceeded in Transit
1 Fragment Reassembly Time Exceeded
12 Parameter Problem [RFC792]
Codes
0 Pointer indicates the error
1 Missing a Required Option [RFC1108]
2 Bad Length
13 Timestamp [RFC792]
Codes
0 No Code
14 Timestamp Reply [RFC792]
Codes
0 No Code
15 Information Request [RFC792]
Codes
0 No Code
16 Information Reply [RFC792]
Codes
0 No Code
17 Address Mask Request [RFC950]
Codes
0 No Code
18 Address Mask Reply [RFC950]
Codes
0 No Code
19 Reserved (for Security) [Solo]
20-29 Reserved (for Robustness Experiment) [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32 Mobile Host Redirect [David Johnson]
33 IPv6 Where-Are-You [Bill Simpson]
34 IPv6 I-Am-Here [Bill Simpson]
35 Mobile Registration Request [Bill Simpson]
36 Mobile Registration Reply [Bill Simpson]
39 SKIP [Markson]
40 Photuris [Simpson]
Code
0 Reserved
1 unknown security parameters index
2 valid security parameters, but authentication failed
3 valid security parameters, but decryption failed
[clink]:当应用这条rule时,chain的名称语法被较正?
action:rule的处理动作,有下面几种:
accept:允许数据包通过。
deny :拦截数据包,而且会给发送者返回一个 ICMP error destination unreachable 的出错信息。
drop:拦截数据包,而且是安静的拦截,不给发送者返回信息指示发送失败。
count : 更新统计,不影响数据包。可能是提取rule中的数据添加到modem的监控系统的数据统计中。
有什么疏漏跟解释不清与错误,请大家补充。。。
to be continue。。。。
个人主页:
http://ebc.r8.org
2003-5-25 09:15 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
Quote:
Originally posted by lwx129 at 2003-5-25 09:06:
我已成功阻断边锋。
chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chai ...
我看不用那么长吧,解释一下都是什么东东。。。估计有更简单的书写方法。
个人主页:
http://ebc.r8.org
2003-5-25 09:25 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器,只好每一个都禁掉了,当然有好的办法,因为每个服务器都是用4000端口的,如果把所有外网进入的4000端口封掉,就只要一条语句:
rule create chain=lwx srcintfgrp=wan prot=tcp srcport=4000 action=drop
当然这样,非边锋但用的4000端口的也禁掉了,比如QQ。
2003-5-25 11:15 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
Quote:
Originally posted by lwx129 at 2003-5-25 11:15:
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器,只好每一个都禁掉了,当然有好的办法,因为每个服务器都是用4000端口的,如果把所有外网进入的4000端口封掉,就只要一条语句:
rule create chain=lwx src ...
qq用的是udp协议。。。
个人主页:
http://ebc.r8.org
2003-5-26 07:11 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
下面结合实例说一下rule的设置:
先看看所用的chain下的rule是否空,当然前提是已经如下与相应的拦截点(hook)挂上了勾:
[ pfirewall.ini ]
assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT
在telnet打入:
Firewall=> rule list chain=FORWARD
如果不是空,要做下面这步:
chain delete chain=FORWARD
意思是清空原来在该chain下的rule。
然后再建立这条chain,chain首先要建立,才能在上面assign。
chain create chain=FORWARD
然后我们就可以设置我们自己想要的rule。
下面我们打开连http(80)的端口:
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=80 action=accept
你如果明白我前帖所说的各种"道具",这条rule就很好理解了,chain=FORWARD,意思是拦截点是通过路由器转送的数据包,注意名称是分大小写,index=0,意思是第一条起作用的rule,srcintfgrp=lan,意思源头是整个lan组(整个内网),prot=tcp,意思是只对 tcp协议起作用,dstport=80,意思是目标端口是80(http),action=accept,意思是允许通过。
但是要浏览网页,还要允许web服务器的数据包返回,我们再加一条这样的rule:
Firewall=> rule create chain=FORWARD index=1 srcintfgrp=wan prot=tcp srcport=80 action=accept
解释参看上面,不再重复。
但我只要浏览网页,其它数据包都不许通过,我们还要加上下面这条:
Firewall=> rule create chain=FORWARD index=2 action=drop
好,现在你可以浏览网页了,但收email等等。。都不行,呵呵。。。
提醒一下,如果你一条rule都不写,那么firewall是全通的。另外,优先级看写的顺序,先写的优先级高,但也可以用index调整顺序,如果index与已经存在的rule相同,新添加进去的rule会排在前面。
比如上面的三条rule,你不能把最后那条写在前面,如果这样,它是优先,而且覆盖了另两条rule的范围,相当于另两条rule不起作用了,也就是说网页也不能浏览了。
另外,nat的优先级比firewall高,已经做了nat的端口,就算firewall里没有打开,也会自动打开。
最后,如果要这些rule下次还能起作用,记住要存盘。
=>config save
to be continue。。。。
个人主页:
http://ebc.r8.org
2003-5-26 08:41 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
redtea
超级版主
积分 206
发贴 142
注册 2002-11-23
状态 离线
呵呵,真是足本的firewall大全了!
2003-5-26 06:10 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
接着上面的例子,如果我们要开放ftp存取,要怎么设置呢?如下:
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=21 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=21 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=20 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=20 action=accept
具体就不再说了,注意一下第二条rule,是允许对方ftp服务器的应答(ack)通过。
那再开放email的收发又怎么样呢?如下:
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=110 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=110 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=25 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=25 ack=yes action=accept
同样要注意到第二、四两条也是允许对方邮件服务器的应答(ack)通过。
另外,这些rule的index=0,也就是插入到原来的rule的前面,这个很重要。最后那条rule是这条:
Firewall=> rule create chain=FORWARD action=drop
关掉除上面这些rule以外的所有转送的数据包,也就是说除上面的服务允许外,其它都禁止。
to be continue。。。。
个人主页:
http://ebc.r8.org
2003-5-28 06:59 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lwx129
高级会员
积分 146
发贴 126
注册 2002-10-6
状态 离线
这么多资料什么地方找到的?
2003-5-28 09:38 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
当然是网上找到的,用google找,什么都找得到。。。
个人主页:
http://ebc.r8.org
2003-5-28 11:04 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
下面,我们分析一下510v3的出厂默认的firewall设置,如下:
[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source
[ pfilter.ini ]
chain delete chain=forward
chain create chain=forward
chain delete chain=sink
chain create chain=sink
chain delete chain=source
chain create chain=source
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
rule create chain=sink index=2 srcintfgrp=!wan action=accept
rule create chain=sink index=3 prot=udp dstport=dns action=accept
rule create chain=sink index=4 prot=udp dstport=68 action=accept
rule create chain=sink index=5 action=drop
rule create chain=source index=0 dstintfgrp=!wan action=accept
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=67 action=accept
rule create chain=source index=3 action=drop
chain=foward
只有一条rule:
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
意思是切断公网到公网通过路由器的数据包转送,这是什么意思呢?我是这样分析的,我估计是比如有些人黑了你的电脑,拿你的电脑作代理服务器,所以就有了公网到公网的数据包通过你的路由器,这样你就可以切断这方面的数据包通过。
chain=sink
第一条rule:
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
这里chain是用sink,是只与modem(10.0.0.138)本身打交道的意思(数据包直接发到modem本身),我估计是切断源于eth0的 tftp数据包,因为tftp是用udp协议,所以只切断tftp,以免切断其它tcp通过tftp端口发送的数据包,而eth0估计是所有内网直连 modem的网卡,比如通过hub或者交换机连modem,eth0就是内网客户机连到hub或者交换机那块网卡。为什么要这样做,因为speed touch内建tftp服务器,内网可以用直接的物理接口用tftp客户端不用密码就可以连到modem里面搞破坏。
第二条rule:
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
这里srcbridgeport=1,意思是指icmp端口,是用作ping等操作的,开放它应该是让内网的直连网卡可以用得到。
第三条rule:
rule create chain=sink index=2 srcintfgrp=!wan action=accept
这里srcintfgrp=!wan意思是指内网跟本地的电脑,所有chain是sink的,除上面的rule限制外都允许通向modem。这里并不是说外网传入的就不许通过,只是还没有定义,也就是默认是全通的,在下面定义。
第四条rule:
rule create chain=sink index=3 prot=udp dstport=dns action=accept
意思是所有向modem的dns请求,都可以向modem发出。
第五条rule:
rule create chain=sink index=4 prot=udp dstport=68 action=accept
意思是所有向modem的68端口的请求,都可以向modem发出,68端口不太清楚是什么东东,好象跟dhcp有关。
第六条rule:
rule create chain=sink index=5 action=drop
然后这条是chain=sink的除上面几条规则外,其它只针对通向modem的数据包全部不能通过。
chain=source
第一条rule:
rule create chain=source index=0 dstintfgrp=!wan action=accept
这到了chain=source的rule了,意思是只源自于modem本身的数据包。
detintfgrp=!wan,意思是内网跟本地,全部可以通过。这里并不是说传向外网的就不许通过,只是还没有定义,也就是默认是全通的,在下面定义。
第二条rule:
rule create chain=source index=1 prot=udp dstport=dns action=accept
所有modem发出的dns请求,都可以通过。
第三条rule:
rule create chain=source index=2 prot=udp dstport=67 action=accept
所有modem发出的67端口的请求,都可以通过,67端口是什么?不太清楚,好象跟dhcp有关。
第四条rule:
rule create chain=source index=3 action=drop
意思是除了上面几条chain=source的rule外,其它source的数据包就不允许通过了,没有这最后一条,就全部source都全开放了,也就是上面的都白写了,呵呵。。。
to be continue。。。
个人主页:
http://ebc.r8.org
2003-5-30 08:53 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
jscan
超级版主
积分 238
发贴 208
注册 2003-5-7
来自 温州
状态 离线
ebc,上面的分析很好。
据我所知etn0是modem的以太网口,你看是吧!
2003-5-30 05:03 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
编辑帖子 引用回复 向版主反应这个帖子
namecallmmm2
初级会员
积分 12
发贴 12
注册 2005-1-5
状态 离线
请问各位大侠,那个10.0.0.0/8是什么意思啊?
我是第一次接触这个东东。你们说是10.0.0.0到255...
那我想要10.0.0.15以后的任何一个IP都不能上网,应该如何设置呢?
当然 10.0.0.138不能算啊,它是猫的嘛
2005-1-5 09:20 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
http://bianchini.altervista.org/discuz/viewthread.php?tid=4293
个人主页:
http://ebc.r8.org
2005-1-6 08:34 AM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
namecallmmm2
初级会员
积分 12
发贴 12
注册 2005-1-5
状态 离线
我见有的人说像下面这样可以将除1---4以外的机子禁用上网
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
可是这样我试过了,根本不行啊,都不能上了
2005-1-6 01:39 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
你只写了一个方向,所以全部上不了网,再写四条dst的就行了。
个人主页:
http://ebc.r8.org
2005-1-6 03:16 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
<< [1] [2] >>
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]
论坛跳转:
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
=======================
? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 关于限制IP上网,ebc进来帮忙一下!呵呵!
作者:
标题: 关于限制IP上网,ebc进来帮忙一下!呵呵! 上一主题 | 下一主题
YES东
高级会员
积分 116
发贴 96
注册 2003-7-15
状态 离线
关于限制IP上网,ebc进来帮忙一下!呵呵!
现在用510上如何限制只能规定的IP才可以上?
例如我现在只允许
10.0.0.1和10.0.0.2上网!其他局域网内的电脑都不可以通过10.0.0.138上网!要在user.ini文件添加什么命令来实像?
http://www.516600.com
2004-7-16 17:00
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
编辑帖子 引用回复
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
所以叫你看看我那篇关于防火墙的文章,forward那个chain那里,accept 10.0.0.1跟10.0.0.2,紧接着再一条drop就行了。
个人主页:
http://ebc.r8.org
2004-7-16 17:05
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
:firewall rule create chain=FORWARD action=drop
个人主页:
http://ebc.r8.org
2004-7-16 17:46
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复
YES东
高级会员
积分 116
发贴 96
注册 2003-7-15
状态 离线
Quote:
Originally posted by ebc at 2004-7-16 05:05 PM:
所以叫你看看我那篇关于防火墙的文章,forward那个chain那里,accept 10.0.0.1跟10.0.0.2,紧接着再一条drop就行了。
好东西!谢谢!我主要懒得去看那些介绍!直接给个实例就可以解决拉!哈哈!我弄那些viking系列的搞得我头都烦
http://www.516600.com
2004-7-16 20:20
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
编辑帖子 引用回复
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
论坛跳转:
自己友论坛 ? 【宽频台】 ? 关于限制IP上网,ebc进来帮忙一下!呵呵!
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
=========================
? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?
<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
namecallmmm2
初级会员
积分 12
发贴 12
注册 2005-1-5
状态 离线
为什么还是可以
firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
为什么其它的IP还是可以上啊?
2005-1-6 08:39 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
namecallmmm2
初级会员
积分 12
发贴 12
注册 2005-1-5
状态 离线
firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
:config save
2005-1-6 08:42 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
先delete chain。
个人主页:
http://ebc.r8.org
2005-1-6 10:18 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
jam_gu
新手上路
积分 1
发贴 1
注册 2005-1-19
状态 离线
Quote:
Originally posted by ebc at 2003-5-30 08:53 AM:
下面,我们分析一下510v3的出厂默认的firewall设置,如下:
[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source
[ pfilter.ini ]
cha ...
很好的文档:
另外补充一下:
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。
2005-1-21 02:04 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
Quote:
Originally posted by jam_gu at 2005-1-21 14:04:
很好的文档:
另外补充一下:
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。
个人主页:
http://ebc.r8.org
2005-1-21 02:16 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
Lucloner
高级会员
积分 122
发贴 122
注册 2005-1-20
状态 离线
拜读。。。
modem的问题基本就搞一段落了 我来打个招呼就走 88 各位
2005-1-21 04:49 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
rbhdragon
新手上路
积分 5
发贴 5
注册 2005-3-12
状态 离线
Quote:
Originally posted by ebc at 2005-1-6 22:18:
先delete chain。
怎样delete ?
可以给出 全部 步骤 么 ? 谢谢...
2005-3-12 04:28 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
<< [1] [2] >>
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]
论坛跳转:
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
=====================
? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围
作者:
标题: 通过防火墙指定可上网的IP地址范围 取消高亮 | 上一主题 | 下一主题
lalala
新手上路
积分 7
发贴 7
注册 2005-3-18
状态 离线
通过防火墙指定可上网的IP地址范围
firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
firewall rule create chain=forward index=1 src=10.0.0.[1-16] dstintfgrp=wan action=accept
firewall rule create chain=forward index=2 srcintfgrp=wan dst=10.0.0.[1-16] action=accept
firewall rule create chain=forward index=3 action=drop
在SpeedTouch 510 (Version 4.0.2.0.1)上成功!
2005-3-22 04:26 PM
查看资料 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
ebc
论坛管理员
积分 14010
发贴 13010
注册 2002-10-1
来自 佛山
状态 离线
个人主页:
http://ebc.r8.org
2005-3-22 06:01 PM
查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
jiezi0315
版主
积分 328
发贴 328
注册 2004-3-25
状态 离线
又学到东西了!!
2005-3-22 07:37 PM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
SCQS
新手上路
积分 1
发贴 1
注册 2005-3-24
状态 离线
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么
2005-3-25 01:21 AM
查看资料 发送邮件 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
cclsoft
Herbie Cai
积分 1066
发贴 1006
注册 2003-6-15
来自 苏州
状态 离线
不错。
自己友论坛欢迎您
2005-3-25 08:43 AM
查看资料 访问主页 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
lalala
新手上路
积分 7
发贴 7
注册 2005-3-18
状态 离线
Quote:
Originally posted by SCQS at 2005-3-25 01:21 AM:
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么
telnet 10.0.0.138(默认是这个)
firewall rule
list
看看已经有什么了?
然后一条一条add进去
saveall
看看精华区的贴子吧:
http://bianchini.altervista.org/discuz/viewthread.php?tid=1202
2005-3-25 08:46 AM
查看资料 搜索该用户的全部帖子 发短消息
编辑帖子 引用回复 向版主反应这个帖子
可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题
快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]
论坛跳转:
自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围
< 联系我们 - ebc's diy主页 >
Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.
Tools 
Help
