smile787,bow,太美,你们来哦,困扰,相当困扰.........
我这里使用RUTEROS29.6,小区大概200户,网关10.45.0.*,使用PPPOE上网, 192.168.100.1-192.168.103.254是允许拨号上网的段;DHCP是分配10.45.45.0/24段,是不允许上网的;现在发现,有用户使用wingate软件,并使用10.45.45.27做网关后代理上网,根本不用拨号就可以上网了,晕死啊;按照帖子里说的,已经做了防止二级代理的设置,不知道那里出了问题,请指教啊,规则里都没允许DHCP分配的段上网啊,我都快疯掉了,疯掉了......... 你做pppoe那张网卡,只跑pppoe不要配置IP这些. 可能是你配置的问题,你在好好检测 一下规则 及配置信息吧,你的要求是可以用ROS实现的。以后在发问时最好不要写版主的id,只发问题就可以了。
① 限制非法代理
ROS宽带接入服务具有自动防止用户使用双网卡、或SyGate类软件、或串接HUB、路由器等各种方式进行非法代理上网的功能。
② 一机多能
ROS集成了常用的多种网络功能:电信级PPPoE和WEB认证服务器功能,PPPoE客户端功能,OSPF、BGP4高级路由器功能,防火墙和NAT功能,VPN功能,DHCP Server和Relay功能,DNS Cache功能等等。避免了使用功能单一的设备时,每新增一项业务种类就需要增加相应功能的设备,从而大大减少了投资成本、维护管理成本和业务成本,提高了服务质量。
③ 强大的认证计费功能
支持PPPoE和WEB(Hotspot)认证和计费,支持全功能的Radius特性;
支持用户账号与MAC、VLAN、端口、IP等多种元素的绑定。
支持定时、限流量、限带宽、限主机、限地理位置等多种用户控制功能。
秋风2006-7-6
[ 本帖最后由 cracks 于 2006-7-6 09:32 编辑 ] 小区没给用户设定固定的IP,只能通过DHCP来分配,规则里都没允许DHCP分配的段上网啊 楼主啊楼主,你在NAT的源地址里只填写192.168.100.1-192.168.103.254就行了啊
这么简单的问题!
或者你在firewall里面加一条DROP,阻止所有10.0.0.0/8转发! chain=srcnat src-address=192.168.100.1-192.168.103.254 action=masquerade
这条规则当然有
可是,没有10.45.45.0/可以masquerade的规则啊!! 奇怪的是为什么可以穿越?我通过tracert跟踪路由
C:\Documents and Settings\Administrator>tracert www.163.com
Tracing route to www.cache.split.netease.com
1 wingate下的地址是192的网段把。禁止10和192的网段路由 不行,没有作用,我试着访问,telnet 10.45.45.27,出现WinGate>的画面!! 明显是用户作共享时出错,类似于那种单网卡共享。
解决方法是
1用vlan交换机把用户隔离。
2建立ip-mac-用户表查找
3用arp欺骗手段 可是跟踪路由 他的前面是拨号得到的地址192.168.100.178!!!可是,仍然不能在OS发现这个地址,所以很迷茫,很迷茫 实在是没办法了,困扰,困扰啊 顶起来~~ 你先确定是通过什么ip上的网。 我估计是这条规则的问题,
chain=srcnat src-address=192.168.100.1-192.168.103.254 action=masquerade
也就是允许拨号用户得到OS分配的IP后masquerade,如果对方利用这段的其中一个地址,会不会..........
页:
[1]
2