关于A能访问B,B不能访问A的另一解法
刚才回家走路是想到的另一解法.A网络和B网络之间用ROS连接,设ROS为T1,
把A网络的缺省路由(或通向B网络的)指向T1,在T1上为A网络做SNAT,这样A网络通过SNAT可以访问B,而B网络的缺省路由(或通向A网络的路由)却不是指向T1,这样B网络到A网络就没有路由可走,同样也不能访问A网络. 这个方案适合在VPN等隧道连接中使用,ROS上的2个网段,就不会这样了,因为ROS本身就是桥。 是啊,ROS要关闭桥的. 默认的桥无法关掉吧 这个问题我试验过,跨网段访问可以封445端口。我试过192.168.1.0/24和172.168.1.0/24之间封445端口就不行了. 刚才,我实验了.用我说的方法完全可以的.如果AB在同网段,需要关网桥(ROS可能没法关),如果AB是不同的网段则完全可以.想一下,我们日常用的NAT就是这种情况,内部是私有地址,而通过NAT,则内部可以上网,而外部不可以访问我们. 原帖由 ssffzz1 于 2006-11-22 13:05 发表
刚才,我实验了.用我说的方法完全可以的.如果AB在同网段,需要关网桥(ROS可能没法关),如果AB是不同的网段则完全可以.想一下,我们日常用的NAT就是这种情况,内部是私有地址,而通过NAT,则内部可以上网,而外部不可以访 ...
NAT是一开始就想到的东西,但你可能没有想到一个问题,如果大家都是公网IP地址呢?也就是说不能做NAT呢?你怎么办?
这个问题是一个做公司网络的朋友提出的,最后只有利用状态连接来解决! NAT并不是说私网专用的,SNAT只是转换源地址.如果两个都是公网其中一边用NAT也是可以的.DNAT(DMZ区)就是一个例子.这个我实验过.其实路由应该是不分公网还是私网IP的,它只是一种数据报转发策略. 原帖由 ssffzz1 于 2006-11-22 13:24 发表
NAT并不是说私网专用的,SNAT只是转换源地址.如果两个都是公网其中一边用NAT也是可以的.DNAT(DMZ区)就是一个例子.这个我实验过.其实路由应该是不分公网还是私网IP的,它只是一种数据报转发策略.
都是公网IP,其中一边做NAT 这是个什么概念,能详细解释一下吗? 明白你的意思,我的意思是说,NAT是把所有都转换为1个IP了,而且,这个NAT表是有限度的,太大了影响效率,况且还有一些特殊要求,比如,B网络中的某个地址不能被A网络中的某个地址访问,做NAT的话就无法限制了! 很不想说的一句是2.9.27已经默认的网桥关闭了........
没看过吗? 另外想说的是ARP不是欺骗交换机,是在交换环境下进行的欺骗,还有就是发送大量虚假的包欺骗网关,ARP是发生在三层下,但是对用户的欺骗不经过上层设备,所以难搞,欺骗网关的还搞,欺骗用户的从下面的二层交换就跑过去了,^_^ 和xqs428的看法一样。 我说的一边做NAT是这样的。
A和B网经过R1路由器相连,AB均公网IP地址,在R1路由器上为A网做SNAT(和原来的SNAT一样,只是A网部分是公网IP),A网的缺省(或到B网的)路由为R1路由器,B网的缺省(或到A网的)路由不是R1路由器,这样A网只能访问B网,而B网不能访问A网。上面提到的,限制某IP不能访问某IP,也可以通过路由表解决(LINUX是可以这样的),不过我认为通过路由表解决不是好办法。既然都可以做SNAT了,为什么不在防火墙上限制某IP对某IP的访问呢?问题又回到防火墙上了。但防火墙却不需要做状态跟踪机制。不知道说的对不对 原帖由 ssffzz1 于 2006-11-22 14:40 发表
我说的一边做NAT是这样的。
A和B网经过R1路由器相连,AB均公网IP地址,在R1路由器上为A网做SNAT(和原来的SNAT一样,只是A网部分是公网IP),A网的缺省(或到B网的)路由为R1路由器,B网的缺省(或到A网的)路 ...
现在的防火墙都可以做状态机制吧,看一个资料说的!
页:
[1]
2