{网络A}==网卡a:RRAS:网卡b=={网络B}
一、预备知识:
1、实际中常需要针对具体应用作限制,那么网管就需要了解:常用服务、应用所用的协议及端口,可查阅winnt\system32\drivers\etc\protocol和文件services。如WEB服务器所用的http使用tcp:80口;ftp要使用tcp:20口来传数据,tcp:21口来控制;ping命令依赖协议号为3的ICMP协议。
2、TCP会话连接建立过程,以客户机访问WEB服务器(192.168.0.1)为例说明:
(1)客户机-->服务器,发出会话请求:192.168.0.1:80口在吗?
(2)客户机<--服务器,服务器会应答:在呀!我们怎么交谈?
(3)客户机-->服务器,发出它的建议:我使用1300口和你的80口交谈,怎么样?
这样服务器使用众所周知的http的默认80口,与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的TCP连接过程中的三次握手。
后面为了描述方便,简述为:客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样,如客户机以任意端口去连FTP服务器的默认tcp:20和21口;以UNC路径(形如:\\192.168.0.1或\\server或\\server.mcse.com)或网上邻居去访问网络共享时,是客户机以任意端口去连服务器的默认tcp:139或tcp:445口,注意这里是“或”,已在2000计算机环境中实验证明。
3、任何宏观上的访问过程的本质都是两向的,即源向目标发出请求,目标向源返回答。两个方向都通,用户才能看到宏观上的访问(或者说通了)。如下图,B访问A将依次经过1—4这4步:
(2) (1)
<--网卡a-RRAS<--网卡b—
—网卡a -->RRAS—网卡b -->
(3) (4)
4、输入还是输出筛选器,是指经过具体网卡,是进入还是离开RRAS这台计算机的而言的。以B网段客户机B1以任意端口去连A网段WEB-A服务器的默认80口为例,筛选器应做如下配置。说明:端口不配或配置为0表示任意端口。
(1)网卡b上,输入筛选器。源:B,端口:0 ;目标A端口:80;
(2)网卡a上,输出筛选器。源:B,端口:0 ;目标A端口:80;
(3)网卡a上,输入筛选器。源:A,端口:80;目标B端口:0;
(4)网卡b上,输出筛选器。源:A,端口:80;目标B端口:0;
二、分析:能否实现A到B通,B到A不通。
1、若是针对所有应用(对应任意端口)实现,答案是否定的。
2、若是针对单项应用,如前面提到的客户机访问WEB服务器,可以实现。即:
A网段用户能访问WEB-B服务器,B网段用户不能访问WEB-A服务器。
原理:配置好RRAS后,A到B,B到A,就都是通的。关键要把B到A的WEB-A设成不通。将前述4步,任意一步阻断,就可实现。也就是说有4种方法,理论上讲在(1)上设效果最优,但实际上差别不大。
3、既然单项应用可以实现,我们可以多做几条筛选器,把常用的应用、服务都罗列上,近似可以实现1中的要求。
三、操作方法如下:
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
1、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。这两名话翻译的不好,可按如下理解:接收所有,除了下列数据包;丢弃所有,除了下列数据包。
2、在源网络和目标网络设置中什么都不选:相当于“任何”。另外:
指定某一个IP,形如IP地址:192.168.1.100,子网掩码:255.255.255.255。
指定一个网段,形如IP地址:192.168.1.0,子网掩码:255.255.255.0。
3、在端口上不配,或配置为0:相当于“任何”。
4、TCP(已建立的),指先前已建立好的TCP连接所用的数据包。这一选项平常一般用不到,除非一个连接已建立且不允许断开,而网管又要马上做筛选器设置。
5、注意区分UDP与TCP端口,即使它们使用相同的端口数值,也不能理解为同一个。
6、DHCP客户与DHCP服务器之间所有的通信都利用udp:67和68口进行。
7、ICMP协议是ping命令的应答所依赖的协议,它的协议号为3。如果不想应别ping你的计算机,可以在RRAS筛选器中禁用它。直接指明ICMP,或协议选其它,协议号上输入:3,这两种方法都可以。注意:ICMP代码和类型是不选或255表示:任何。
8、在网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选,相当于一个简单的输出筛选器。实验中发现基于它的第三项IP协议号来阻止ping无效,怎么设都能ping通。但TCP/IP筛选在2000P/XP上非常有用,因为在2000P/XP上是不能安装RRAS的。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |