关于ROS局域网内互访的讨论
ROS做路由器,2块网卡,2个网段,通过ROS规则设置如何让A网能访问B网,而B网不能访问A网?希望大家踊跃讨论,活跃思维!
[ 本帖最后由 zooyo 于 2006-11-21 15:22 编辑 ] 也就是A能访问B,而B不能访问A! 版主指的“访问”有定义么?445还是整体不作指向? 地址栏 \\IP 访问 原谅我,我又想说在三层交换上做了。。。ACL,太好实现了。。。原谅我吧。。。:hug: 就是说用ROS如何实现! PCQ 做 SCR 标记DST 标记看需要不需要限制 端口
小的不是很熟请高手指正 ROS可以做状态防火墙! 原帖由 jiaruifly 于 2006-11-21 17:26 发表
PCQ 做 SCR 标记DST 标记看需要不需要限制 端口
小的不是很熟请高手指正
老兄,你天天都说三层,,要知道,我们不像你,天生生了个富贵家庭,说买三层就买,而且,有些中小型的买三层不是浪费吗 添加IP-ROUTE mark路由可以不,我就是这样的,无线+2个网段,然后再添加MANGLE,这样能访问阿,我都分成几个网段了,要限制的话没试过,在FIREWALL里面设置DROP可不可以呢 我也说下想法啊:将被访问的机器看作服务器,服务器提供NETBIOS服务,客户机才能访问到。也就是说服务器要开放NETBIOS服务端口,我印象里面应该是137-139。而发起访问的客户机所使用的端口肯定不会是特权端口。也就是在1024-65535之间。根据137-139(被访问端)对应1024-65535(发起端)的对应关系,设置一些规则就应该可以实现你的想法了。 原帖由 疯狂火吻 于 2006-11-22 04:21 发表
添加IP-ROUTE mark路由可以不,我就是这样的,无线+2个网段,然后再添加MANGLE,这样能访问阿,我都分成几个网段了,要限制的话没试过,在FIREWALL里面设置DROP可不可以呢
我同意 我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗,凡B到A的具有NEW状态的全部DROP掉,这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉,对IPTABLES还可以,我认为在IPTABLES中应该这样做,不知道说的对不对。 原帖由 baozhu52033 于 2006-11-21 22:06 发表
老兄,你天天都说三层,,要知道,我们不像你,天生生了个富贵家庭,说买三层就买,而且,有些中小型的买三层不是浪费吗
大哥,你说的不对,三层智能弹性交换才是中小企业(也包括网吧)的首选,他是解决你内网VLAN划分、广播隔离、ARP欺骗最根本的设备,性能可靠,比你自己组装的ROS可靠的多!而且就现在的价格来说相当便宜的。
生产当中的大毛病不说,就说隔三差五的小病都够你受的。所以,做网络更要严谨,该布署三层要上三层,该用墙一定用墙。 原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗,凡B到A的具有NEW状态的全部DROP掉,这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉,对IPTABLES还可以,我认为在IPTABLES中应该这样做, ...
同意。因为,NEW状态相当于初始的TCP SYN请求或第一个UDP数据包。把B的握手请求DROP掉,连接当然不能建立了。