请教:ROS如何只只只让PPPOE的合法用户上外网?
我这里构造了2个地址池:192.168.0.0/24,网关为192.168.0.1;这个给PPPOE用户使用另一个为10.0.0.0/16,没有网关,这个给普通用户用,这样他一开机就可以拿到一个IP,但无法NAT上外网。
PPPOE的合法用户可以拨入,得到192.168...的地址,NAT上外网都没有问题。
但问题是非PPPOE的用户在自己的机子上手工修改自己电脑的IP地址,如:192.168.0.13,网关也为192.168.0.1,DNS他可以自己找一个我们这里电信提供的DNS的IP填入,这样他也可以通过NAT上外网。
有没有办法限制这种私自修改IP的上外网,而只让PPPOE的合法用户通过NAT上外网? LAN口不要配置同PPPOE一个段的IP地十. 问题是用户自己会修改IP地址,将其改成与PPPOE客户相同,怎么办?急! 原帖由 网络-浪子 于 2008-11-9 20:36 发表 http://bbs.routerclub.com/images/common/back.gif
LAN口不要配置同PPPOE一个段的IP地十.
或者LAN口干脆不设IP。 不设IP不给用DHCP的!
方法很简单,把LAN口的ARP给disable
回复 5# 的帖子
这确实是个办法,值得一试,但是我觉得恐怕还是有漏洞:如果下面非PPPOE合法用户用arp配置一个静态的IP-MAC对应表,是不是还是能访问到网关? 其实很简单,只要上两个LAN口,一个走PPPOE,一个走内网就是了。走内网的不配NAT就可以可。走内网的用户接在这个lan口下 原帖由 tassel 于 2008-11-10 06:59 发表 http://bbs.routerclub.com/images/common/back.gif
这确实是个办法,值得一试,但是我觉得恐怕还是有漏洞:
如果下面非PPPOE合法用户用arp配置一个静态的IP-MAC对应表,是不是还是能访问到网关?
没有ARP,即使你知道LAN口的MAC,同样没用,你试试吧,水平在测试中获得提高! 专卖精品说得对,当然如果能再配个网卡,问题更容易解决 LAN口不配IP,ARP选择“reply-only”,不拨号的就上不了了,怎么改IP和MAC也没用的。。。 就是网络-浪子的方法,详细点就是:
我现在的做法是pppoe用户用的是一个地址池,让ROS自己分配服务器端ip和客户端ip(pppoe拨号后只有服务器端IP和客户端IP)。
做nat的时候在src.Address添你能上网的地址段(如你的是192.168.0.0/24)
LAN 的IP用另一个网段的就可以了。
有没有效,尝试你就清楚了。 试过了,LAN不给DHCP,LAN的ARP禁用即可。效果非常好!
LAN客户自己装静态ARP可以,但是是单向的。Router的LAN端还是不会与这个LAN客户建立通信的 LAN口可以用DHCP,只需不给ARP就行
页:
[1]