我来提问大家答系列之三(都来积极讨论)
问题一:环境如下:
假设防火墙中没有任何规则
问:
如何使自己被 ping 时只能每秒响应 3 个 ping 包
问题二:
环境如下:
client 使用公网 DNS 服务器
假设所有 WEB 服务器都使用 TCP/80
假设防火墙中已允许所有内网人员上网
问:
如何在现有规则的基础上修改,使 IP 为 192.168.0.5 的内网用户只能浏览网页?
问题三:
环境如下:
假设所有 client 均使用同一公网 DNS 服务器
问:
如果有一天公网 DNS 服务器坏掉了,如何让用户在不修改网络配置的情况下仍可以继续上网?
大家踊跃发言积极参加讨论,回答详细且正确者授予当日之星封号! 我先问一下.对于第一题的机器是否和网关是同一台,网关的防火墙规则能不能修改.本机是否可以做防火墙.
第二题,防火墙的规则能不能修改,网关的其它规则呢?
第三题:自己在网关上虚拟配置一个公网DNS的IP地址,架一台缓存或转发DNS服务器绑定到该地址,加入正确路由.就可以了.个人认为DNAT重定向也许可以,但没有实验过.
[ 本帖最后由 ssffzz1 于 2006-11-29 11:57 编辑 ] 刚才验证了,第三题用作DNAT的方法也可以. 第一题:icmp_ratelimit icmp_ratemask配合调整. 原帖由 ssffzz1 于 2006-11-29 11:56 发表
第二题,防火墙的规则能不能修改,网关的其它规则呢?
不能 偶是菜鸟,等答案! 大家认为解决了问题的,请不要吝惜,发一下ROS的规则。 呵呵,斑竹要的是规则啊。请问
第一题的答案应该可以的,LINUX2.6内核的参数,2.4应该也有的不过名字不一样,我实验了可以的。不过在ROS中调整有些困难。如果网关的规则可以修改的话就简单了,防火墙加入一条限制ICMP ECHO速度的的规则就可以了。
第二题如果防火墙规则不可修改,实现起来有些困难,我正在思考中。如果可以改防火墙,则加入相应的规则,不过规则的位置应该注意。
第三题用ROS就可以做的,要么自己开DNS转发服务器和外网的IP相同但DSN服务器转发出的查询保文应该做NAT,否则无返回报文。要么做DNAT,把到改DNS的报文重定向到别的正常的DNS服务器。这应该是最简单的方法。 1、用 limit 模块
2、在适当的位置按照适当的顺序插入适当的规则即可
3、用 DNAT 大家要基于ROS而实践噢! 问题三:
环境如下:
假设所有 client 均使用同一公网 DNS 服务器
问:
如果有一天公网 DNS 服务器坏掉了,如何让用户在不修改网络配置的情况下仍可以继续上网?
路过。配置dhcp-server分发给client时,分发两个dns,主dns挂掉时,client机会自动寻求采取第二个dns进行解析。:) 问题三:
环境如下:
假设所有 client 均使用同一公网 DNS 服务器
问:
如果有一天公网 DNS 服务器坏掉了,如何让用户在不修改网络配置的情况下仍可以继续上网?
先设置好你ROS的DNS,
然后在你的INTERFACE的LAN口上加上电信的DNS这个地址的IP 问题二:
环境如下:
client 使用公网 DNS 服务器
假设所有 WEB 服务器都使用 TCP/80
假设防火墙中已允许所有内网人员上网
问:
如何在现有规则的基础上修改,使 IP 为 192.168.0.5 的内网用户只能浏览网页?
forward src.add=192.168.0.5 dst.prot tcp 80 accept
forward dst.prot tcp 80 drop 楼上的规则qq可以上哦..
+字段才行 不会,占个位置,等结果
页:
[1]
2