交流 › RouterOS › 关于ROS局域网内互访的讨论

zooyo 发表于 2006-11-22 10:00:39

原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗，凡B到A的具有NEW状态的全部DROP掉，这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉，对IPTABLES还可以，我认为在IPTABLES中应该这样做， ...


此兄回答得相当正确，完全掌握了IPTABLES中的精髓和在ROS上的熟练应用。授予ROUTERCLUB的今日之星！鼓掌！！！:lol :lol

ssffzz1 发表于 2006-11-22 10:26:37

谢谢夸奖，我正在晕呼中。
麻烦老大看看此帖发表一下意见，先谢谢了。
http://bbs.routerclub.com/thread-18182-1-1.html

专卖精品 发表于 2006-11-22 11:18:31

原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗，凡B到A的具有NEW状态的全部DROP掉，这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉，对IPTABLES还可以，我认为在IPTABLES中应该这样做， ...

正确，高手！

jianxin007 发表于 2006-11-22 11:42:02

原帖由 zooyo 于 2006-11-22 10:00 发表



此兄回答得相当正确，完全掌握了IPTABLES中的精髓和在ROS上的熟练应用。授予ROUTERCLUB的今日之星！鼓掌！！！:lol :lol


吃醋中～～～～～～～～～～～～～～～～～～～～～～～～～～～～～俺的也可以做到:') :') :') :')

[ 本帖最后由 jianxin007 于 2006-11-22 11:43 编辑 ]

parphy 发表于 2006-11-22 11:42:13

这个贴发得很有实际意义，例如单向PING也是可以用类似的方法，只是将TCP的属性换成ICMP的属性即可

专卖精品 发表于 2006-11-22 11:44:53

原帖由 jianxin007 于 2006-11-22 11:42 发表



吃醋中～～～～～～～～～～～～～～～～～～～～～～～～～～～～～俺的也可以做到:') :') :') :')

楼主给了一个错误的导向，楼主本来的意思是完全无法访问，而不仅仅是局域网访问！所以不仅仅是TCP，是任何访问！

parphy 发表于 2006-11-22 12:05:11

吃什么醋？你已经和今日之星英雄所见略同了！
不如赶快回家搞个反向连接，把楼主的封锁黑了它，哈哈

jianxin007 发表于 2006-11-22 12:07:58

原帖由 专卖精品 于 2006-11-22 11:44 发表


楼主给了一个错误的导向，楼主本来的意思是完全无法访问，而不仅仅是局域网访问！所以不仅仅是TCP，是任何访问！

没听懂，真的！怎么感觉是绕口令？
我稍微解释一下：
我的思路是：由源地址（B网）发来的数据包，其源端口号范围为1024-65535，并且其目地址是A网网段，目的端口号是1-1023，DROP掉。
用地址栏 \\IP 访问A网，难道不是访问A网的NETBIOS服务吗？所以，目的端口号只局限在137-139之间就可以了。除非版主的意思是拒绝B网访问A网的任意服务。（因为有些服务所使用的监听端口号是在1-1023之外的非特权端口）
再有，请专卖精品看一下版主所贴出来的示意图，A、B两网的接口是LAN1和LAN2。既然是LAN，就是指局域网了。


欢迎拍砖～～～～～～～～:lol

专卖精品 发表于 2006-11-22 12:13:32

所以我说楼主给了错误的导向

不能访问，指的是任何连接！而不仅仅是1－1023端口

专卖精品 发表于 2006-11-22 12:15:10

而且，你DROP端口，会造成A到B无法访问的

zooyo 发表于 2006-11-22 12:15:22

矛头指向我了:Q

jianxin007 发表于 2006-11-22 12:24:09

原帖由 专卖精品 于 2006-11-22 12:13 发表
而且，你DROP端口，会造成A到B无法访问的

A到B怎么会不能访问？发起端建立TCP连接的时候，系统会默认分一个非特权端口给这个连接。服务提供端一般都是使用1-1023之间的特权端口进行监听。连接建立之后，双方的端口是按这个规律一一对应的。（比如，192.168.0.1：5555>>>>192.168.1.1:80）A向B发起请求的时候，A的端口是1024-65535之间，B的端口是1-1023之间，这两组端口在我所假设的规则中并没有被DROP，怎么会不能访问呢？

[ 本帖最后由 jianxin007 于 2006-11-22 12:25 编辑 ]

专卖精品 发表于 2006-11-22 12:33:40

原帖由 jianxin007 于 2006-11-22 12:24 发表


A到B怎么会不能访问？发起端建立TCP连接的时候，系统会默认分一个非特权端口给这个连接。服务提供端一般都是使用1-1023之间的特权端口进行监听。连接建立之后，双方的端口是按这个规律一一对应的。（比如， ...

那如果我要FTP呢？或者是WEB呢？不要钻牛角尖，都跟你说了是任何访问，而不要被楼主误导仅仅是\\SERVER访问！

platinum 发表于 2006-11-22 12:36:35

基于状态控制就可以
打开路由转发，禁止 B -> A 的 NEW 包通过即可

jianxin007 发表于 2006-11-22 12:43:12

原帖由 专卖精品 于 2006-11-22 12:33 发表


那如果我要FTP呢？或者是WEB呢？不要钻牛角尖，都跟你说了是任何访问，而不要被楼主误导仅仅是\\SERVER访问！

不钻牛角尖怎么能相互提高呢？FTP开放的是21端口，WEB是80端口。都在1-1023端口范围里面。我没有DROP掉A发往B的目的端口为1-1023的数据包。那么，FTP和WEB应该可以连接。怎么会出现A不能访问B的现象呢？

如果是拒绝B访问A的任何连接，今日之星的答案无疑是最正确的。我的答案是他答案的一个子集，并且应该是可能性最大的一个子集。

请专卖精品大人看好了，我现在的矛头可是直指您的“A不能访问B”那句话啊～～～

拍我吧～～～～～～～～～～～～～:lol

查看完整版本: 关于ROS局域网内互访的讨论