调和的记事本 msn: 工作相关

关于SpeedTouch 511e 这个adsl modem

Sat, 21 Jul 2007 03:24:57 GMT

http://www.speedtouch.net.nz/
http://www.speedtouch.net.nz/st510r3.htm

? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

作者:
标题: SpeedTouch 511e 可以限制局域网的某一台ip上网吗？上一主题 | 下一主题
烽火台
新手上路

积分 4
发贴 4
注册 2005-1-15
状态离线
SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

SpeedTouch 511e 可以限制局域网的某一台ip上网吗？
2005-1-15 11:36
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
用防火墙规则就行了，看精华区关于防火墙的介绍，比如限制10.0.0.1，加一条这样的规则：

:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=drop

个人主页：
http://ebc.r8.org
2005-1-15 12:27
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
烽火台
新手上路

积分 4
发贴 4
注册 2005-1-15
状态离线
看了好久才明白一点谢谢 ebc
2005-1-15 14:28
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
小混
新手上路

积分 6
发贴 6
注册 2005-12-20
状态离线
那要重新开启10.0.0.1上网呢
2006-3-9 23:31
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
把那条规则删掉，看cli文档，可以用telnet操作，也可以在带cli功能的744 firmware的web界面里操作。

个人主页：
http://ebc.r8.org
2006-3-10 09:27
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转:

自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

< 联系我们 - ebc's diy主页 >

========================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

作者:
标题: 利用firewall禁止广东互联星空了上一主题 | 下一主题
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
利用firewall禁止广东互联星空了

可恶的互联星空，竟然不要密码就能上去消费。
我这里是几家共享的，不知是不是其它有人上过互联星空，结果是被扣了。
已打电话给10000，要求停止这种无耻行为，立即停掉连密码都不用就可以消费的一点通，当然其它的消费也是要取消的。因为这个网上消费功能是未经我同意就自动开通的。
电信真是无耻啊。

呼吁用ADSL的用户，立即至电10000，取消这种消费功能。

我对他们说了，如果你们的这种行为是合法的，那么，银行也可以自动开通消费实名制：只要你开办了银行卡，就自动开通这种"方便用户"的消费实名制，即，以后买东西时，只要大声说出你的名字就可以交费了。

当然，我自己先禁止上这个网了，因为我不能确定这个消费不是内部网中其它人的消费。这次算我的了吧。我交这个费得了。但以后不能再上这个什么星空了。

1. 在CMD窗口中输入ping gd.chinavnet.com，得到要禁止上的网的IP，这里得到的是61.145.125.229
2. telnet 10.0.0.138，进入ADSL后，输入用户名和密码
3. 按顺序输入以下：
firewall
chain create chain="yyy"
rule create chain=yyy index=0 src=61.145.125.229 action=drop
assign hook=input chain="yyy"
:config save

哈哈，搞定了。

注意：我在输入时，曾打错了字，系统显示无效命令，我重输入后倒是正常了。但这里猫也死了，无法上网。我是重新开猫电源后，又才能上网的。

谢谢这个网站了。谢谢EBC，谢谢lwx129

[ Last edited by ALCATELUSER on 2006-1-28 at 09:01 ]
2006-1-23 06:38 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

个人主页：
http://ebc.r8.org
2006-1-23 08:37 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
再想请教EBC：
我想通过修改user.ini，来增加防火墙规则，然后再上传。但发现user.ini中有：
[ nat.ini ]
bind application=H323 port=1720
bind application=FTP port=ftp
bind application=RTSP port=554
bind application=RAUDIO(PNA) port=7070
bind application=ils port=ldap
bind application=ils port=1002
enable addr=219.1xx.xx.xxx type=pat

其中的，219.1xx.xx.xxx 是此时动态分配给我的IP。

如果我修改ini文件后，再上传，如果此时重新分配IP了，这时会不会产生什么问题呢？

谢谢！
2006-1-23 10:20 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
这个狗吃的星空，在网站说明里有注销用户的地方，可是我进去看了，注销的按钮都没有了，都不知道如果才能注销了。
真他妈的无耻！
2006-1-23 11:33 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

< 联系我们 - ebc's diy主页 >

===================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
各位有没有设置过里面的firewall?

近来没事干，想玩玩510plus里面的firewall，我查到边锋游戏的ip地址是218.104.136.6，port是4000，想把局域网里的边锋游戏禁掉，命令如下：

chain create chain="lwx"

rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

assign hook=input chain="lwx"

但没用效果，不知哪里有问题，请各位帮忙。谢谢！！
2003-5-22 04:02 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
gyp2000
超级版主

积分 305
发贴 275
注册 2003-4-2
状态离线
防火墙不是这样玩的~~~呵呵
2003-5-22 04:13 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
大哥快帮忙，教我一招呀！！感激不尽！！
2003-5-22 04:51 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
这个嘛，有时间我也研究研究，确实比较复杂。gyp2000最好写编教程。。。

个人主页：
http://ebc.r8.org
2003-5-22 08:48 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
firewall assign命令解释.
语法:
firlwall assign hook=<{input|sink|forward|source}> chain=

作用:给一入口点(entry point)分配关联(chain),这里的入口点又称为钩子(hook)或包拦截点(PIP)是指跟据关联(chain)中指定的约束规则来拦截包的位置.主要有以下四种入口点:
input：该点决定包是否允许到达SpeedTouch路由器，或本地主机。
sink：信息寻址点，将自己指向SpeedTouch路由器，或本地主机。该点决定是否允许包找到SpeedTouch路由器，或本地主机。
forward：信息出发点，该点决定是否允许信息从SpeedTouch路由器，或本地主机处理，比如路由。
source：该点决定是否允许信息从本地主机离开。
output：该点决定是否允许信息从SpeedTouch路由器，或本地主机离开。

-----------------------------------------------------------------------------------

翻译了这些，不知所云呀。
2003-5-22 10:32 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
等一下我帮你解释。。。

个人主页：
http://ebc.r8.org
2003-5-23 08:44 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
谢谢！！！
等待中。。。。。。。。。
2003-5-23 09:13 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
法国人的解释：

http://www.forpage.com/forum/vie ... um=17&3&start%203D0

我也没完全明白，呵呵。。。

首先把它们看作五个点，称为hook。

input：表示进来的数据包怎么处理。

sink：表示各个方向专门奔路由器去的数据包怎么处理。

forward：表示全部要路由器转送的数据包怎么处理。

source：表示全部源自于路由器的数据包怎么处理。

output：表示全部出去的数据包怎么处理。

注意input、output是相对而言，可以从内网这边看，也可以从外网那边看，主要看源跟目标是什么。

数据流的图如下：

本贴包含图片附件:

点击查看全图

个人主页：
http://ebc.r8.org
2003-5-23 11:06 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
chain create chain="lwx"

rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

assign hook=input chain="lwx"

问题在你没有跟5个拦截点挂勾，究竟工作模式是source、sink、input、output、forward中的那一个呢？

比如首先要assign，比如这样：
[ pfirewall.ini ]
assign hook=forward chain=lwx

然后再create，比如这样：
[ pfilter.ini ]
chain delete chain=lwx
chain create chain=lwx

然后才是写rule，比如你这样：
rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

然后还不知道你写的rule对不对，呵呵。。。你的规则看上去，似乎是所有内网的电脑不能连到外网的218.104.136.6 ip，协议是tcp，口是4000，但有没有疏漏，我也不清楚，你试一下通过上面的设置行不行就知道了。

个人主页：
http://ebc.r8.org
2003-5-24 07:00 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
一般预设置防火墙的标准格式是这样，在telnet里输入：

firewall
chain create chain=INPUT
chain create chain=SINK
chain create chain=FORWARD
chain create chain=SOURCE
chain create chain=OUTPUT

assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT
chain save
save
:config save

个人觉得没必要自己起个chain的名称，就直接引用那五个大写的名称就可以了，直观，知道是跟什么"点"挂勾。

个人主页：
http://ebc.r8.org
2003-5-24 07:20 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面我根据自己的理解，解释一下防火墙的设置：

首先说一下是，防火墙是内置在modem的firmware里面，过滤内网（lan）、外网（internet）两个方向的数据包用的。

设置一般通过telnet设置，你也可以写进user.ini文件这样设置。

数据包以"流"的方式通过modem（路由器）。

数据包精确的通过五个"拦载点"被控制，称为hook（勾）。

它们分别是：

input：表示进来的数据包怎么处理。

sink：表示各个方向只针对路由器本身去的数据包怎么处理。

forward：表示全部要路由器在外网、内网间转送处理的数据包怎么处理。

source：表示全部只源出于路由器本身的数据包怎么处理。

output：表示全部出去的数据包怎么处理。

三个不同方向的流如下图所示：

流的方向不是由物理接口，而是由源跟目标的需要决定的。

比如这样：

内网要出去的时候，内网就被定义成input，外网被定义成output。

而外网要进来的时候，外网就被定义成input，内网被定义成output。

我理解的是，一条rule，用input的"勾"也可以写，用output的"勾"也可以写，只要源跟目标对调一下就行了，不知道是不是这样。

to be continue。。。

个人主页：
http://ebc.r8.org
2003-5-24 07:42 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
说得很细，谢谢！！可我还是有点不太清楚，特别是这个点是设在哪里。是内网lan?外网wan?还是local，还是!wan，!lan，还有优先级别问题，比如有好几个关于input的chain，在我的ADSL里是用INDEX0，INDEX1来标记的，它们是按顺序生效的吗？说明书上有个例子是封掉所有的连接，并只开一个与外网的（网址为200.20.20.1)Telnet通信的防火墙，如下：

firewall chain create chain=Telnet

firewall rule create chain=Telnet src=10.0.0.0/8 dst=200.20.20.1 srcintfgrp=lan prot=tcp srcport=1024 srcportend=65535 dstport=23 action=accept

firewall rule create chain=Telnet src=200.20.20.1 dst=192.6.11.10 srcintfgrp=wan prot=tcp srcport=23 dstport=1024 dstportend=65535 ack=yes action=accept //这里的192.6.11.10是nat转换IP地址。

firewall rule create chain=Telnet action=drop

firewall assign hook=input chain=Telnet

反过来，如果打开所有连接，只封掉与这个Telnet通信又如何设置？
2003-5-24 11:31 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
我有点忙，明天根据法国人的解释结合实例再中文解释一下。。。

个人主页：
http://ebc.r8.org
2003-5-24 02:44 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
gyp2000
超级版主

积分 305
发贴 275
注册 2003-4-2
状态离线
防火墙的规则和书写方式
先初始化防火墙
[ pfilter.ini ] （这个要在最前面）
chain delete chain=sink ；
chain create chain=sink
chain delete chain=forward
chain create chain=forward
chain delete chain=source
chain create chain=source

Show sfirewall rule create chain = ；规则名字

[index = ] ；规则序号
[srcintf [!]= ] ；源定义网卡名
[srcintfgrp [!]= <{wan|local|lan}>] ；源定义网卡名
[srcbridgeport [!]= ] ；定义端口
[src [!]= ] ；源IP
[srcmsk = ] ；源IP 子网掩码
[dstintf [!]= ] ；定义目标网卡
[dstintfgrp [!]= <{wan|local|lan}>] ；定义目标网卡
[dst [!]= ] ；目标IP
[dstmsk = ] ；目标IP 子网掩码
[tos [!]= ] ；包寿命
[prot [!]= <{tcp|udp|icmp|protocol}>] ；端口协议
[syn ] ；SYN标志位
[urg ] ；URG标志位
[ack ] ；ACK标志位
[srcport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；源起始端口
[srcportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；源结束端口
[dstport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；目标起始端口
[dstportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；目标结束端口
[icmptype [!]= <{echo-reply|destination-unreachable|source-quench|
redirect|echo-request|router-advertisement|
router-solicitation|time-exceeded|parameter-problems|
timestamp-request|timestamp-reply|
information-request|information-reply|
address-mask-request|address-mask-reply|
icmpnumber}>]
[icmpcode [!]= ] ;起始icmp
[icmpcodeend = ] ;结束icmp
[clink ]
action <{accept|deny|drop|count}> ;|接受|拒绝|丢弃|count

列：
rule create chain=sink index=0 srcintf=eth0 srcbridgeport=1 action=accept

rule create chain=sink index=1 srcintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的？
rule create chain=sink index=2 prot=udp dstport=dns action=accept

rule create chain=sink index=3 prot=udp dstport=68 action=accept

rule create chain=sink index=4 action=drop

rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
所有从接口wan 到接口wan 的都拒绝
rule create chain=source index=0 dstintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的？
rule create chain=source index=1 prot=udp dstport=dns action=accept

rule create chain=source index=2 prot=udp dstport=67 action=accept

rule create chain=source index=3 action=drop
2003-5-25 05:08 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
我已成功阻断边锋。

chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chain=lwx index=2 src=61.153.37.222 action=drop
rule create chain=lwx index=3 src=202.101.165.237 action=drop
rule create chain=lwx index=4 src=61.144.56.30 action=drop
rule create chain=lwx index=5 src=61.153.19.101 action=drop
rule create chain=lwx index=6 src=202.98.15.230 action=drop
rule create chain=lwx index=7 src=202.96.75.247 action=drop
rule create chain=lwx index=8 src=202.107.225.55 action=drop
rule create chain=lwx index=9 src=61.153.8.50 action=drop
rule create chain=lwx index=10 src=61.153.198.200 action=drop
rule create chain=lwx index=11 src=218.6.174.184 action=drop
rule create chain=lwx index=12 src=219.235.127.66 action=drop
rule create chain=lwx index=13 src=61.128.97.134 action=drop
rule create chain=lwx index=14 src=61.158.97.35 action=drop
rule create chain=lwx index=15 src=61.138.15.144 action=drop
rule create chain=lwx index=16 src=61.138.15.114 action=drop
rule create chain=lwx index=17 src=218.66.101.14 action=drop
rule create chain=lwx index=18 src=202.107.236.190 action=drop
rule create chain=lwx index=19 src=218.104.136.6 action=drop
rule create chain=lwx index=20 src=202.96.114.245 action=drop
rule create chain=lwx index=21 src=61.241.130.59 action=drop
rule create chain=lwx index=22 src=202.103.190.13 action=drop
rule create chain=lwx index=23 src=211.141.95.76 action=drop
rule create chain=lwx index=24 src=211.90.241.37 action=drop
rule create chain=lwx index=25 src=61.243.222.25 action=drop
rule create chain=lwx index=26 src=211.167.148.203 action=drop
rule create chain=lwx index=27 src=202.101.150.130 action=drop
rule create chain=lwx index=28 src=218.108.248.119 action=drop
rule create chain=lwx index=29 src=218.57.200.21 action=drop
rule create chain=lwx index=30 src=202.98.9.109 action=drop
rule create chain=lwx index=31 src=218.106.241.247 action=drop
rule create chain=lwx index=32 src=61.243.232.20 action=drop
rule create chain=lwx index=33 src=61.153.52.185 action=drop
rule create chain=lwx index=34 src=210.76.63.27 action=drop
rule create chain=lwx index=35 src=211.140.137.125 action=drop
assign hook=input chain="lwx"
2003-5-25 09:06 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
为了更好的写好rule，一定要打好基础，我再次试图形象解释上面gyp2000所说的几种"道具"的定义。

声明：用方括号括住的表示可写可不写，也就是可选项目。

chain：　一个拦截点的载体，表示我这个rule是在那个点上拦截过滤数据包的。

[index]：每个不同的拦截点的chain中，rule各自的起作用的先后顺序，这个不是必须写的，可能不写就按书写顺序，写了后就按它们的数字从小到大排列作用顺序。

[scrintf]：就是数据包来源的接口名。注意，不能用于"拦截点"定义为output的chain，这样可能要纠正我上面所说的input、 output是一样的，只要改源跟目标就可以起相同的效果，看来是有限制的，不然只要input、output其中一个拦截点就够了。

关于接口名，大概是这样，一般local组下的是loop（表示本地主机？）。lan组下的是eth0（表示连路由器的网卡？），如果有多台客户机，有这个条件的在telnet下在ip提示符打iflist看看是否还有eth1、eth2等接口？然后是wan组下的是你用在user.ini里面代表外网接口的名称，就是在[phone.ini]里那个名字。是否还有什么接口就不太清楚了。

[srcintfgrp]：就是上面的源接口的上级，源接口组，某个类型的接口的总称。一般是三个，分别是local、lan、wan。跟上面也一样，不能用于"拦截点"定义为output的chain。

[srcbridgeport]：就是数据包来源的桥接口，是一个0-6之间的数值。在telnet的bridge提示符下执行iflist可以看到都有什么口，我看见有obc、eth0，是什么东东，不太清楚，越来越难理解了，呵呵。。。

[src]：源ip地址或者范围。比如这样写src=10.0.0.1/8，表示从10.0.0.1-10.255.255.254的范围（不知道对不对，呵呵。。。）

[srcmsk]：跟上面ip跟着的/8是一样的，独立在这里写也可以，象上面那样连着写，这里就不用再定义了。

[dstintf]：目标接口名。（跟上面源的对应，请参看前述）

[dstintfgrp]：目标接口组。（跟上面源的对应，请参看前述）

[dst]：目标ip地址或者范围。（跟上面源的对应，请参看前述）

[dstmsk]：跟上面源的对应，请参看前述。

[tos]：数字介于0-255之间，表示由数字所指定的服务类型的ip包是否过滤。服务类型的编号由下面所列的数字决定：

Assigned Internet Protocol Numbers

Decimal Keyword Protocol References
------- ------- -------- ----------
0 Reserved [JBP]
1 ICMP Internet Control Message [RFC792,JBP]
2 IGMP Internet Group Management [RFC1112,JBP]
3 GGP Gateway-to-Gateway [RFC823,MB]
4 IP IP in IP (encasulation) [JBP]
5 ST Stream [RFC1190,IEN119,JWF]
6 TCP Transmission Control [RFC793,JBP]
7 UCL UCL [PK]
8 EGP Exterior Gateway Protocol [RFC888,DLM1]
9 IGP any private interior gateway [JBP]
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741,SC3]
12 PUP PUP [PUP,XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158,JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768,JBP]
18 MUX Multiplexing [IEN90,JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869,RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908,RH6]
28 IRTP Internet Reliable Transaction [RFC938,TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 SEP Sequential Exchange Protocol [JC120]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]

36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [DXP2]
41 SIP Simple Internet Protocol [SXD]
42 SDRP Source Demand Routing Protocol [DXE1]
43 SIP-SR SIP Source Route [SXD]
44 SIP-FRAG SIP Fragment [SXD]
45 IDRP Inter-Domain Routing Protocol [Sue Hares]
46 RSVP Reservation Protocol [Bob Braden]
47 GRE General Routing Encapsulation [Tony Li]
48 MHRP Mobile Host Routing Protocol[David Johnson]
49 BNA BNA [Gary Salamon]
50 SIPP-ESP SIPP Encap Security Payload [Steve Deering]
51 SIPP-AH SIPP Authentication Header [Steve Deering]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NHRP NBMA Next Hop Resolution Protocol
55-60 Unassigned [JBP]
61 any host internal protocol [JBP]
62 CFTP CFTP [CFTP,HCF2]
63 any local network [JBP]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [JBP]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP,ML109]
87 TCF TCF [GAL5]
88 IGRP IGRP [CISCO,GXS]

89 OSPFIGP OSPFIGP [RFC1583,JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RXH1]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [JBP]
100 GMTP GMTP [RXB5]
101-254 Unassigned [JBP]
255 Reserved [JBP]

[prot]：协议名称，一般是三个：tcp、udp、icmp。也可以用上面的表中的数字表示，tcp是6，udp是17，icmp是1。

[syn]：用于看看ip数据包里的syn（同步）标识是yes还是no，决定是否过滤。

[urg]：用于看看ip数据包里的urg（紧急指针，不知道什么东西，呵呵。。。）标识是yes还是no，决定是否过滤。

[ack]：用于看看ip数据包里的ack（应答）标识是yes还是no，决定是否过滤。

[srcport]：源ip端口，不用我说了吧。

[srcportend]：源ip结束端口，可以跟上面的配合指定一个端口范围。

[dstport]：跟上面源的对应，请参看前述。

[dstportend]：跟上面源的对应，请参看前述。

[icmptype]：icmp包的类型，有如下这些：

echo-reply
destination-unreachable
source-quench
redirect
echo-request
router-advertisement
router-solicitation
time-exceeded
parameter-problems
timestamp-request
timestamp-reply
information-request
information-reply
address-mask-request
address-mask-reply
Echo Reply [RFC792]

也可以如下表数字表示：

1 Unassigned [JBP]
2 Unassigned [JBP]
3 Destination Unreachable [RFC792]
4 Source Quench [RFC792]
5 Redirect [RFC792]
6 Alternate Host Address [JBP]
7 Unassigned [JBP]
8 Echo [RFC792]
9 Router Advertisement [RFC1256]
10 Router Selection [RFC1256]
11 Time Exceeded [RFC792]
12 Parameter Problem [RFC792]
13 Timestamp [RFC792]
14 Timestamp Reply [RFC792]
15 Information Request [RFC792]
16 Information Reply [RFC792]
17 Address Mask Request [RFC950]
18 Address Mask Reply [RFC950]
19 Reserved (for Security) [Solo]
20-29 Reserved (for Robustness Experiment) [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32 Mobile Host Redirect [David Johnson]
33 IPv6 Where-Are-You [Bill Simpson]
34 IPv6 I-Am-Here [Bill Simpson]
35 Mobile Registration Request [Bill Simpson]
36 Mobile Registration Reply [Bill Simpson]
37 Domain Name Request [Simpson]
38 Domain Name Reply [Simpson]
39 SKIP [Markson]
40 Photuris [Simpson]
41-255 Reserved

[icmpcode]：是否过滤带有指定的icmpcode的ip数据包，数字从0-15范围。

[icmpcodeend]：icmpcode结束数字，结合上面命令可以设置一个范围。

下面是icmp type中有icmpcode的type：

Type Name Reference
---- ------------------------- ---------
0 Echo Reply [RFC792]

Codes
0 No Code

1 Unassigned [JBP]

2 Unassigned [JBP]

3 Destination Unreachable [RFC792]

Codes
0 Net Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation Needed and Don't Fragment was Set
5 Source Route Failed
6 Destination Network Unknown
7 Destination Host Unknown
8 Source Host Isolated
9 Communication with Destination Network is
Administratively Prohibited
10 Communication with Destination Host is
Administratively Prohibited
11 Destination Network Unreachable for Type of Service
12 Destination Host Unreachable for Type of Service
13 Communication Administratively Prohibited [RFC1812]
14 Host Precedence Violation [RFC1812]
15 Precedence cutoff in effect [RFC1812]

4 Source Quench [RFC792]
Codes
0 No Code

5 Redirect [RFC792]

Codes
0 Redirect Datagram for the Network (or subnet)
1 Redirect Datagram for the Host
2 Redirect Datagram for the Type of Service and Network
3 Redirect Datagram for the Type of Service and Host

6 Alternate Host Address [JBP]

Codes
0 Alternate Address for Host

7 Unassigned [JBP]

8 Echo [RFC792]

Codes
0 No Code

9 Router Advertisement [RFC1256]

Codes
0 No Code

10 Router Selection [RFC1256]

Codes
0 No Code

11 Time Exceeded [RFC792]

Codes
0 Time to Live exceeded in Transit
1 Fragment Reassembly Time Exceeded

12 Parameter Problem [RFC792]

Codes
0 Pointer indicates the error
1 Missing a Required Option [RFC1108]
2 Bad Length

13 Timestamp [RFC792]

Codes
0 No Code

14 Timestamp Reply [RFC792]

Codes
0 No Code

15 Information Request [RFC792]

Codes
0 No Code

16 Information Reply [RFC792]

Codes
0 No Code

17 Address Mask Request [RFC950]

Codes
0 No Code

18 Address Mask Reply [RFC950]

Codes
0 No Code

19 Reserved (for Security) [Solo]

20-29 Reserved (for Robustness Experiment) [ZSu]

30 Traceroute [RFC1393]

31 Datagram Conversion Error [RFC1475]

32 Mobile Host Redirect [David Johnson]

33 IPv6 Where-Are-You [Bill Simpson]

34 IPv6 I-Am-Here [Bill Simpson]

35 Mobile Registration Request [Bill Simpson]

36 Mobile Registration Reply [Bill Simpson]

39 SKIP [Markson]

40 Photuris [Simpson]

Code

0 Reserved
1 unknown security parameters index
2 valid security parameters, but authentication failed
3 valid security parameters, but decryption failed

[clink]：当应用这条rule时，chain的名称语法被较正？

action：rule的处理动作，有下面几种：

accept：允许数据包通过。
deny ：拦截数据包，而且会给发送者返回一个 ICMP error destination unreachable 的出错信息。
drop：拦截数据包，而且是安静的拦截，不给发送者返回信息指示发送失败。
count : 更新统计，不影响数据包。可能是提取rule中的数据添加到modem的监控系统的数据统计中。

有什么疏漏跟解释不清与错误，请大家补充。。。

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-25 09:15 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by lwx129 at 2003-5-25 09:06:
我已成功阻断边锋。

chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chai ...

我看不用那么长吧，解释一下都是什么东东。。。估计有更简单的书写方法。

个人主页：
http://ebc.r8.org
2003-5-25 09:25 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器，只好每一个都禁掉了，当然有好的办法，因为每个服务器都是用4000端口的，如果把所有外网进入的4000端口封掉，就只要一条语句：
rule create chain=lwx srcintfgrp=wan prot=tcp srcport=4000 action=drop
当然这样，非边锋但用的4000端口的也禁掉了，比如QQ。
2003-5-25 11:15 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by lwx129 at 2003-5-25 11:15:
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器，只好每一个都禁掉了，当然有好的办法，因为每个服务器都是用4000端口的，如果把所有外网进入的4000端口封掉，就只要一条语句：
rule create chain=lwx src ...

qq用的是udp协议。。。

个人主页：
http://ebc.r8.org
2003-5-26 07:11 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面结合实例说一下rule的设置：

先看看所用的chain下的rule是否空，当然前提是已经如下与相应的拦截点（hook）挂上了勾：
[ pfirewall.ini ]
assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT

在telnet打入：
Firewall=> rule list chain=FORWARD

如果不是空，要做下面这步：
chain delete chain=FORWARD
意思是清空原来在该chain下的rule。

然后再建立这条chain，chain首先要建立，才能在上面assign。
chain create chain=FORWARD
然后我们就可以设置我们自己想要的rule。

下面我们打开连http（80）的端口：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=80 action=accept

你如果明白我前帖所说的各种"道具"，这条rule就很好理解了，chain=FORWARD，意思是拦截点是通过路由器转送的数据包，注意名称是分大小写，index=0，意思是第一条起作用的rule，srcintfgrp=lan，意思源头是整个lan组（整个内网），prot=tcp，意思是只对 tcp协议起作用，dstport=80，意思是目标端口是80（http），action=accept，意思是允许通过。

但是要浏览网页，还要允许web服务器的数据包返回，我们再加一条这样的rule：
Firewall=> rule create chain=FORWARD index=1 srcintfgrp=wan prot=tcp srcport=80 action=accept
解释参看上面，不再重复。

但我只要浏览网页，其它数据包都不许通过，我们还要加上下面这条：
Firewall=> rule create chain=FORWARD index=2 action=drop

好，现在你可以浏览网页了，但收email等等。。都不行，呵呵。。。

提醒一下，如果你一条rule都不写，那么firewall是全通的。另外，优先级看写的顺序，先写的优先级高，但也可以用index调整顺序，如果index与已经存在的rule相同，新添加进去的rule会排在前面。

比如上面的三条rule，你不能把最后那条写在前面，如果这样，它是优先，而且覆盖了另两条rule的范围，相当于另两条rule不起作用了，也就是说网页也不能浏览了。

另外，nat的优先级比firewall高，已经做了nat的端口，就算firewall里没有打开，也会自动打开。

最后，如果要这些rule下次还能起作用，记住要存盘。

=>config save

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-26 08:41 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
redtea
超级版主

积分 206
发贴 142
注册 2002-11-23
状态离线
呵呵，真是足本的firewall大全了！
2003-5-26 06:10 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
接着上面的例子，如果我们要开放ftp存取，要怎么设置呢？如下：

Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=21 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=21 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=20 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=20 action=accept

具体就不再说了，注意一下第二条rule，是允许对方ftp服务器的应答（ack）通过。

那再开放email的收发又怎么样呢？如下：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=110 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=110 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=25 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=25 ack=yes action=accept

同样要注意到第二、四两条也是允许对方邮件服务器的应答（ack）通过。

另外，这些rule的index=0，也就是插入到原来的rule的前面，这个很重要。最后那条rule是这条：

Firewall=> rule create chain=FORWARD action=drop

关掉除上面这些rule以外的所有转送的数据包，也就是说除上面的服务允许外，其它都禁止。

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-28 06:59 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
这么多资料什么地方找到的?
2003-5-28 09:38 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
当然是网上找到的，用google找，什么都找得到。。。

个人主页：
http://ebc.r8.org
2003-5-28 11:04 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面，我们分析一下510v3的出厂默认的firewall设置，如下：

[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source

[ pfilter.ini ]
chain delete chain=forward
chain create chain=forward
chain delete chain=sink
chain create chain=sink
chain delete chain=source
chain create chain=source
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
rule create chain=sink index=2 srcintfgrp=!wan action=accept
rule create chain=sink index=3 prot=udp dstport=dns action=accept
rule create chain=sink index=4 prot=udp dstport=68 action=accept
rule create chain=sink index=5 action=drop
rule create chain=source index=0 dstintfgrp=!wan action=accept
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=67 action=accept
rule create chain=source index=3 action=drop

chain=foward
只有一条rule：
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
意思是切断公网到公网通过路由器的数据包转送，这是什么意思呢？我是这样分析的，我估计是比如有些人黑了你的电脑，拿你的电脑作代理服务器，所以就有了公网到公网的数据包通过你的路由器，这样你就可以切断这方面的数据包通过。

chain=sink
第一条rule：
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
这里chain是用sink，是只与modem（10.0.0.138）本身打交道的意思（数据包直接发到modem本身），我估计是切断源于eth0的 tftp数据包，因为tftp是用udp协议，所以只切断tftp，以免切断其它tcp通过tftp端口发送的数据包，而eth0估计是所有内网直连 modem的网卡，比如通过hub或者交换机连modem，eth0就是内网客户机连到hub或者交换机那块网卡。为什么要这样做，因为speed touch内建tftp服务器，内网可以用直接的物理接口用tftp客户端不用密码就可以连到modem里面搞破坏。

第二条rule：
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
这里srcbridgeport=1，意思是指icmp端口，是用作ping等操作的，开放它应该是让内网的直连网卡可以用得到。

第三条rule：
rule create chain=sink index=2 srcintfgrp=!wan action=accept
这里srcintfgrp=!wan意思是指内网跟本地的电脑，所有chain是sink的，除上面的rule限制外都允许通向modem。这里并不是说外网传入的就不许通过，只是还没有定义，也就是默认是全通的，在下面定义。

第四条rule：
rule create chain=sink index=3 prot=udp dstport=dns action=accept
意思是所有向modem的dns请求，都可以向modem发出。

第五条rule：
rule create chain=sink index=4 prot=udp dstport=68 action=accept
意思是所有向modem的68端口的请求，都可以向modem发出，68端口不太清楚是什么东东，好象跟dhcp有关。

第六条rule：
rule create chain=sink index=5 action=drop
然后这条是chain=sink的除上面几条规则外，其它只针对通向modem的数据包全部不能通过。

chain=source
第一条rule：
rule create chain=source index=0 dstintfgrp=!wan action=accept
这到了chain=source的rule了，意思是只源自于modem本身的数据包。
detintfgrp=!wan，意思是内网跟本地，全部可以通过。这里并不是说传向外网的就不许通过，只是还没有定义，也就是默认是全通的，在下面定义。

第二条rule：
rule create chain=source index=1 prot=udp dstport=dns action=accept
所有modem发出的dns请求，都可以通过。

第三条rule：
rule create chain=source index=2 prot=udp dstport=67 action=accept
所有modem发出的67端口的请求，都可以通过，67端口是什么？不太清楚，好象跟dhcp有关。

第四条rule：
rule create chain=source index=3 action=drop
意思是除了上面几条chain=source的rule外，其它source的数据包就不允许通过了，没有这最后一条，就全部source都全开放了，也就是上面的都白写了，呵呵。。。

to be continue。。。

个人主页：
http://ebc.r8.org
2003-5-30 08:53 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jscan
超级版主

积分 238
发贴 208
注册 2003-5-7
来自温州
状态离线
ebc,上面的分析很好。
据我所知etn0是modem的以太网口，你看是吧！
2003-5-30 05:03 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
请问各位大侠，那个10.0.0.0/8是什么意思啊？
我是第一次接触这个东东。你们说是10.0.0.0到255...
那我想要10.0.0.15以后的任何一个IP都不能上网，应该如何设置呢？
当然　10.0.0.138不能算啊，它是猫的嘛
2005-1-5 09:20 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
http://bianchini.altervista.org/discuz/viewthread.php?tid=4293

个人主页：
http://ebc.r8.org
2005-1-6 08:34 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
我见有的人说像下面这样可以将除1－－－4以外的机子禁用上网
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
可是这样我试过了，根本不行啊，都不能上了
2005-1-6 01:39 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
你只写了一个方向，所以全部上不了网，再写四条dst的就行了。

个人主页：
http://ebc.r8.org
2005-1-6 03:16 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
<< [1] [2] >>

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

< 联系我们 - ebc's diy主页 >

=======================

? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 关于限制IP上网，ebc进来帮忙一下！呵呵！

作者:
标题: 关于限制IP上网，ebc进来帮忙一下！呵呵！上一主题 | 下一主题
YES东
高级会员

积分 116
发贴 96
注册 2003-7-15
状态离线
关于限制IP上网，ebc进来帮忙一下！呵呵！

现在用510上如何限制只能规定的IP才可以上？

例如我现在只允许
10.0.0.1和10.0.0.2上网！其他局域网内的电脑都不可以通过10.0.0.138上网！要在user.ini文件添加什么命令来实像？

http://www.516600.com
2004-7-16 17:00
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
所以叫你看看我那篇关于防火墙的文章，forward那个chain那里，accept 10.0.0.1跟10.0.0.2，紧接着再一条drop就行了。

个人主页：
http://ebc.r8.org
2004-7-16 17:05
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
:firewall rule create chain=FORWARD action=drop

个人主页：
http://ebc.r8.org
2004-7-16 17:46
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
YES东
高级会员

积分 116
发贴 96
注册 2003-7-15
状态离线

Quote:
Originally posted by ebc at 2004-7-16 05:05 PM:
所以叫你看看我那篇关于防火墙的文章，forward那个chain那里，accept 10.0.0.1跟10.0.0.2，紧接着再一条drop就行了。

好东西！谢谢！我主要懒得去看那些介绍！直接给个实例就可以解决拉！哈哈！我弄那些viking系列的搞得我头都烦

http://www.516600.com
2004-7-16 20:20
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转:

自己友论坛 ? 【宽频台】 ? 关于限制IP上网，ebc进来帮忙一下！呵呵！

< 联系我们 - ebc's diy主页 >

=========================

<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
为什么还是可以

firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop

为什么其它的IP还是可以上啊？
2005-1-6 08:39 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
:config save
2005-1-6 08:42 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
先delete chain。

个人主页：
http://ebc.r8.org
2005-1-6 10:18 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jam_gu
新手上路

积分 1
发贴 1
注册 2005-1-19
状态离线

Quote:
Originally posted by ebc at 2003-5-30 08:53 AM:
下面，我们分析一下510v3的出厂默认的firewall设置，如下：

[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source

[ pfilter.ini ]
cha ...

很好的文档：
另外补充一下：
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。
2005-1-21 02:04 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by jam_gu at 2005-1-21 14:04:
很好的文档：
另外补充一下：
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。

个人主页：
http://ebc.r8.org
2005-1-21 02:16 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
Lucloner
高级会员

积分 122
发贴 122
注册 2005-1-20
状态离线
拜读。。。

modem的问题基本就搞一段落了我来打个招呼就走 88 各位
2005-1-21 04:49 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
rbhdragon
新手上路

积分 5
发贴 5
注册 2005-3-12
状态离线

Quote:
Originally posted by ebc at 2005-1-6 22:18:
先delete chain。

怎样delete ？
可以给出全部步骤么？谢谢...
2005-3-12 04:28 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
<< [1] [2] >>

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

< 联系我们 - ebc's diy主页 >

=====================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

作者:
标题: 通过防火墙指定可上网的IP地址范围取消高亮 | 上一主题 | 下一主题
lalala
新手上路

积分 7
发贴 7
注册 2005-3-18
状态离线
通过防火墙指定可上网的IP地址范围

firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
firewall rule create chain=forward index=1 src=10.0.0.[1-16] dstintfgrp=wan action=accept
firewall rule create chain=forward index=2 srcintfgrp=wan dst=10.0.0.[1-16] action=accept
firewall rule create chain=forward index=3 action=drop

在SpeedTouch 510 (Version 4.0.2.0.1)上成功!
2005-3-22 04:26 PM
查看资料搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

个人主页：
http://ebc.r8.org
2005-3-22 06:01 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jiezi0315
版主

积分 328
发贴 328
注册 2004-3-25
状态离线
又学到东西了!!
2005-3-22 07:37 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
SCQS
新手上路

积分 1
发贴 1
注册 2005-3-24
状态离线
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么
2005-3-25 01:21 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
cclsoft
Herbie Cai

积分 1066
发贴 1006
注册 2003-6-15
来自苏州
状态离线
不错。

自己友论坛欢迎您
2005-3-25 08:43 AM
查看资料访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lalala
新手上路

积分 7
发贴 7
注册 2005-3-18
状态离线

Quote:
Originally posted by SCQS at 2005-3-25 01:21 AM:
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么

telnet 10.0.0.138(默认是这个)
firewall rule
list
看看已经有什么了?
然后一条一条add进去
saveall

看看精华区的贴子吧:
http://bianchini.altervista.org/discuz/viewthread.php?tid=1202
2005-3-25 08:46 AM
查看资料搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

< 联系我们 - ebc's diy主页 >

阿尔卡特的SpeedTouch 511e ADSL modem设置防火墙来做到只能上msn

Sat, 21 Jul 2007 03:20:43 GMT

telnet modem

输入用户名密码

然后出现 "=>" 提示符，这时候我们可以开始输入命令了。

首先确认防火墙功能是否开启：

输入命令ip config ：

=>ip config

显示：

Forwarding on

Firewalling on

Sendredirects on

Sourcerouting off

NetBroadcasts off

Default TTL 64

Fraglimit 64 fragments

Fragcount currently 0 fragments

Defragment mode : always

Address checks : dynamic

Mss Clamping : on

第2 行Firewalling 显示on 说明防火墙已经开启。如果是off 说明防火墙是关闭状态。

如果是关闭状态则需要打开它：

=> ip config firewalling on

运行saveall 命令保存设置

=> saveall

如果以后要关闭则运行：

=> ip config firewalling on

然后设置防火墙：

=> Firewall

输入命令前的提示符变成[Firewall]=> 表示我们已经进入防火墙设置选项。

接下来我们开始建立过滤规则。

该modem 的建立规则的结构为：一个chain 下面包含若干个rule 。Rule 就是防火墙的过滤规则，而chain 是为了和modem 的拦载点挂钩（hook ）。首先说一下是，防火墙是内置在modem 的firmware 里面，过滤内网（lan ）、外网（internet ）两个方向的数据包用的。数据包以" 流" 的方式通过modem （路由器）。数据包精确的通过五个" 拦载点" 被控制，称为hook （勾）。它们分别是：
input ：表示进来的数据包怎么处理。
sink ：表示各个方向只针对路由器本身去的数据包怎么处理。
forward ：表示全部要路由器在外网、内网间转送处理的数据包怎么处理。
source ：表示全部只源出于路由器本身的数据包怎么处理。
output ：表示全部出去的数据包怎么处理。
chain 和拦截点挂钩modem 防火墙才知道是以上那种工作模式。

我们平时上网数据包都是要通过modem 转发，所以我们只需要设置forword 的类型的规则就可以了。

现在开始建立chain 。

假定建立一个chain 名字FORWARD( 注意名字是大写，名字小写是modem 自带的chain 。之所以取这个名字是为了方便操作者直观知道该chain 的类型，取其他名字也可以) 。

[Firewall]=> rule list chain=FORWARD
上面这条命令表示查看名字为FORWARD 的chain 否已经存在。

如果不是空，要做下面这步：
chain delete chain=FORWARD
意思是删除这个chain 并且清空原来在该chain 下的rule 。
然后再建立这条chain 。
chain create chain=FORWARD
然后我们就可以设置我们自己想要的rule 。

下面我们建立打开msn 服务器连接的rule ：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan dst=65.54.225.254 action=accept

Index 表示优先级，越高则越优先被执行。srcintfgrp=lan 表示数据包来自局域网，dst=65.54.225.254 表示数据包目的地，后面的action= accept 表示符合以上条件的数据包都允许通过。

上一条只是允许数据包发出去，还要允许msn 服务器的数据包返回，我们再加一条这样的rule ：

Firewall=> rule create chain=FORWARD index=1 src=65.54.225.254 dstintfgrp=lan action=accept

这一条和上一条类似只不过来源和目的地换了一下。

最后要设置其它数据包都不许通过，我们还要加上下面这条：
Firewall=> rule create chain=FORWARD index=4 action=drop

这条表示所有转发的数据包都禁止通过，因为上面2 条rule 优先级高所以msn 服务器还是能够通过。

Chain 建完要和拦截点挂钩，命令如下：

Firewall=> assign hook=forward chain= FORWARD

最后保存

Firewall=> ..

.. 这个命令是退出firewall 选项回到根选项。

=> config save

=> saveall

以上保存设置后重启modem 过滤规则开始生效。

直接telnet 25端口发邮件

Fri, 06 Jul 2007 07:24:20 GMT

直接telnet 25端口发邮件

转自：http://hi.baidu.com/x278384/blog/item/0aa38d77f869071bb051b9cf.html

：）可以自己写个程序发邮件咯。用jmail控件也行。
下次说telnet上收邮件，可以做邮件到达提醒。：）偶们的oa里用得到哦。

使用以下命令启动 TELNET 会话：
Telnet xxx.xxx.xxx.xxx 25
如果正常，您将会看到以下来自 IMC 的响应：
220 site.company.com Microsoft Exchange Internet Mail
Connector 4.0.xxx.xx

其中，xxx.xx 对 RTM 是 837.3，对 SP1 是 838.14。

键入以下命令开始进行通讯：
HELO test.company.com
您应看到如下响应：
250 OK

键入以下命令来通知 IMC 邮件源于何处：
MAIL FROM:Admin@test.company.com
您应得到如下响应：
250 OK - MAIL FROM <[email]Admin@test.company.com[/email]>

键入以下命令来通知 IMC 邮件的目标地址（使用一个有效的 Microsoft Exchange 收件人 SMTP 地址）。
RCPT TO:<[email]User@Site.Domain.Com[/email]>
您应看到如下响应：
250 OK - Recipient <[email]User@Site.Domain.Com[/email]>

键入以下命令以通知 IMC 您已准备好发送数据：
DATA
您应看到如下响应：
354 Send data. End with CRLF.CRLF

键入以下命令以添加主题行：
Subject: test message

然后按两次 Enter 键。

该命令看不到任何响应。

备注：两个 Enter 命令符合 RFC 822 规则，即 822 命令后必须跟空行。

键入以下命令来添加邮件正文：
This is a test message
您将看不到来自该命令的响应。

在紧接着的空行处键入句号，然后按 ENTER 键。

您应看到如下响应：
250 OK

键入以下命令以关闭连接：
QUIT
您应看到如下响应：
221 closing connection

对于上述任一命令，如果您收到"500 Command not recognized"错误消息，则表明由于语法错误或无效的命令导致 IMC 无法识别您所键入的内容。

登录进入您在上述步骤 4 中选择的邮件收件人的 Microsoft Exchange 客户邮箱。如果邮箱中有您的测试邮件，说明传入 IMC 通讯工作正常。

如果应用程序事件日志显示任何错误消息，或在接收邮件时出现问题，请检查配置或到主机的通讯。

概要

本文介绍如何 telnet 到运行简单邮件传输协议 (SMTP) 服务的计算机上的端口 25，以解决 SMTP 通信问题。默认情况下，SMTP 侦听端口 25。

您可以根据您遇到的问题类型选用以下适当的疑难解答步骤。例如，如果您在两台 Microsoft Exchange 2000 Server 服务器之间通过 SMTP 发送邮件时遇到问题，则可以通过在发送服务器上使用 Telnet 连接到目标服务器上的端口 25 来测试 SMTP 连接。或者，如果您在接收来自 Internet 的 SMTP 邮件时遇到问题，则可以按照本文中列出的步骤，测试驻留在 Internet 上但不在您的网络上的主机与您的 SMTP 服务器的连接。

调和的记事本 msn: 工作相关

关于SpeedTouch 511e 这个adsl modem

阿尔卡特的SpeedTouch 511e ADSL modem设置防火墙来做到只能上msn

直接telnet 25端口发邮件

概要

更多信息

基本测试

高级测试