imax
发表于 2004-7-9 18:11:50
hotspot 设置好后,防火墙会不起作用,如果局域网有病毒将产生内大量请求到路由的hotspot页面,导致hotspot页面无法访问而不能上网!!!
zhanghui
发表于 2004-7-9 18:40:39
我这里测试过,防火墙没问题啊。一样可以挡住的。请察看配置是否冲突
imax
发表于 2004-7-9 19:23:38
能告知是否还是用以前的防火墙配置?还是要加新的东西?
zhanghui
发表于 2004-7-9 19:41:58
没有什么特殊配置啊。把你的配置说说
imax
发表于 2004-7-10 14:13:27
我是在ip-firewall-forward里添加的drop tcp 445的但是因为 重定向所有未授权用户的tcp请求到hotspot服务/ip firewall dst-nat add in-interface="ether2" flow="!hs-auth" protocol=tcp action=redirect to-dst-port=80 comment="redirect unauthorized clients to hotspot service"这句,将所有请求都定向到hotspot的页面,包括病毒的请求,造成web页打不开,请指教正确的firewall规则
imax
发表于 2004-7-10 21:27:54
各位快帮我看看吧
zhanghui
发表于 2004-7-10 22:57:45
我正在测试。你那里有多少用户?我这用户少,服务器没发现问题。防火墙配置也起作用。
imax
发表于 2004-7-10 23:24:05
我有30台机器,现在请求达到8000-9000,都是445端口,都重定向到80端口了,而且都是未登陆的用户!所以要攻击routeros只要不停的发请求,routeros就停止服务了!只要一台机器中毒,hotspot就当掉了
zhanghui
发表于 2004-7-11 07:47:13
不开hotspot就没事吗?给我个病毒样本。
wwjun
发表于 2004-7-11 08:24:53
在防火墙认证规则之前加DROP 掉445(TCP和UDP)的规则 INPUT和FORWARD链都要加
zhanghui
发表于 2004-7-11 12:31:52
QUOTE (wwjun @ Jul 11 2004, 08:24 AM)
在防火墙认证规则之前加DROP 掉445(TCP和UDP)的规则 INPUT和FORWARD链都要加
和我想的一样
imax
发表于 2004-7-11 13:20:44
不错,一定要在hotspot规则前加才有用而且要在ds-nat里添加接受这个端口
imax
发表于 2004-7-11 18:43:58
不过现在问题又来了以前设置的nat主机192.168.0.188没用了就是放在hotspot规则前也没用那位能解答啊
页:
[1]