![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 網絡管理 > 網絡設備 > 正文 |
 |
| ISDN路由器的高級設置(上) |
| 本文出自:http://comp.zz.ha.cn/ 作者: 葉揚 (2001-08-17 10:00:00) |
我單位員工上網原先都是各自為政自己買個貓,撥號上網。這種方法不僅效率低、無法控制,而且安全性差,使局域網很容易受到來自Internet的入侵。為此,筆者為單位申請了一條ISDN線路,添加一台Zyxel P100IH撥號路由器,統一局域網內上網的出口,同時加強對單位上網用戶的管理。
這種方案不但降低了話費,提高了效率,而且一些可能發生的安全問題也被完全掌握在管理員的控制之中。
在本篇文章中,筆者將講述在設置撥號路由器過程中會遇到一些難點問題。安裝撥號路由器過程比較簡單,筆者不再贅述。
安裝ISDN路由器,就會發現,ISDN路由器的默認設置給予局域網內用戶極大的權力,用戶可以隨意使用任何互聯網服務,如:WWW、FTP、E-mail、Telnet、IRC等,也可以訪問任意一個Web站點,還可以自己私自設定一個合法的IP地址通過ISDN路由器上網,諸如此類的問題讓管理員非常棘手。
如何阻止局域網內用戶訪問非法Web站點?如何阻止某台單機上網?如何設置防火牆?這些問題,是本文探討的重點。
設置P100IH有三種方法:
1)一是使用終端模擬軟件,如:Win 9X中的超級終端,使用它需要你的電腦直接與路由器的控制口相連接;
2)二是使用Telnet工具,用它則不同第一種方法了,只要你的電腦能Ping通路由器就行;
3)三是使用Zyxel公司的PNC軟件,該軟件可運行Win 9x/NT平台,圖形化操作界面,還提供了聯機幫助,是個很不錯的路由器配置工具。該軟件可在P100IH的配套光盤中找到,使用它的條件是你的電腦通過局域網能Ping通路由器。為了便講解,筆者以Telnet選單方式向讀者介紹如何設置ISDN路由器。
阻止本地非法用戶訪問互聯網
如果你想阻止局域網內某個指定的用戶訪問互聯網,可以使用本方法。
Menu 21 - Filter Set Configuration
Filter Filter
Set # Comments Set # Comments
1 Block a client 7
2 8
3 9
4 10
5 11
6 12
Enter Filter Set Number to Configure= 0
Edit Comments=
Press ENTER to Confirm or ESC to Cancel:
|
| 2.建立一條過濾規則,拒絕接受這個用戶所發出的數據封包。 |
Menu 21.1.1 - TCP/IP Filter Rule
Filter #: 1,1
Filter Type= TCP/IP Filter Rule
Active= Yes
IP Protocol= 0 IP Source Route= No
Destination: IP Addr= 0.0.0.0
IP Mask= 0.0.0.0
Port #=
Port # Comp= None
Source: IP Addr= 192.168.1.5
IP Mask= 255.255.255.255
Port #=
Port # Comp= None
TCP Estab= N/A
More= No Log= None
Action Matched= Drop
Action Not Matched= Forward
Press ENTER to Confirm or ESC to Cancel:
|
| Filter Type: | 過濾規則類型,分為TCP/IP與Generic兩種過濾類型; | | Active: | 是否激活本規則; | | IP Protocol: | 數據封包的通信協議,ICMP=1,TCP=6,UDP=17; | | Source IP addr: | 輸入你想阻止其上網的本地用戶IP地址; | | IP Mask: | 根據'Source IP Addr='設置IP掩碼,一台工作應該設置為255.255.255.255; | | Action Matched: | 設為'Drop',拒絕該用戶所發出的數據包; | | Action Not Matched: | 設為'Forward',接受其它工作站所發出的數據包。 |
| 3.激活上面建立的過濾項:進入Menu3.1,在'protocol filter'中輸入過濾項代碼就可以了。 |
Menu 3.1 - General Ethernet Setup
Input Filter Sets:
protocol filters= 1
device filters=
Output Filter Sets:
protocol filters=
device filters=
|
識別網卡地址來阻止電腦訪問互聯網
上例使用IP地址過濾的方法來阻止本地用戶登錄互聯網,如果用戶私自將已被封鎖的IP地址更換為另一合法值,那管理員該怎辦呢?沒問題,我們知道每塊網卡在出廠時都有一個全球唯一的網卡地址編碼,P100IH就可以根據這個地址來過濾上網的用戶。你只要將網卡地址加入到過濾條件中,就可以阻止非法用戶登錄互聯網(除非他再換一塊網卡)。
本機網卡地址的獲得:在Win 9X操作系統下執行Winipcfg命令,其中的“適配器地址”即網卡地址;Win NT下執行Ipconfig/ALL命令,“Physical Address”即網卡地址。假定本例網卡地址為[00 80 c8 4c ea 63]。
| 2.首先建立一個過濾項,然在過濾項中再建立一條過濾規則。 |
Menu 21.1.1 - Generic Filter Rule
Filter #: 1,1
Filter Type= Generic Filter Rule
Active= Yes
Offset= 6
Length= 6
Mask= ffffffffffff
Value= 0080c84cea63
More= No Log= None
Action Matched= Drop
Action Not Matched= Forward
|
| Filter Type: | 設置過濾類型為'Generic Filter Rule'(注意同上例的區別); | | Active: | 激活規則,設置為'Yes'; | | Offset(用字節表示): | 偏移量設置為'6',網卡地址在數據封包中的起始位置; | | Length(用字節表示): | 網卡地址長度設置為'6'; | | Mask(用12個十六進制數表示): | 默認設置為'ffffffffffff'; | | Value (用十六進制數表示): | 網卡地址,本例設為[00 80 c8 4c ea 63]; | | Action Matched: | 設為'Drop',當網卡地址與設定值相同時,拒絕該用戶所發出的數據封包; | | Action Not Matched: | 設為'Forward',接受其它工作站所發出的數據封包。 |
| 3.激活上面建立的過濾項:進入Menu3.1,在'Device Filter'中輸入過濾項代碼就可以了(注意不是'Protocol Filter')。 |
Menu 3.1 - General Ethernet Setup
Input Filter Sets:
protocol filters=
device filters= 1
Output Filter Sets:
protocol filters=
device filters=
|
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
代理接入服務器(七)ISDN撥號 (2002-02-17 07:20:00)
RedHat6.2服務器配置方案大全--第八章 ISDN (2001-09-29 07:05:00)
ISDN路由器的高級設置(下) (2001-08-17 12:00:00)
ISDN路由器的高級設置(上) (2001-08-17 10:00:00)
使用外置ISDN TA的2個B通道上網的配置 (2001-04-20 16:19:51)
ISDN路由器的設置 (2001-04-19 14:19:02)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |