关于ROS局域网内互访的讨论

zooyo

ros做路由器，2块网卡，2个网段，通过ROS规则设置如何让A网能访问B网，而B网不能访问A网？
希望大家踊跃讨论，活跃思维！

[ 本帖最后由 zooyo 于 2006-11-21 15:22 编辑 ]

专卖精品

也就是A能访问B，而B不能访问A！

naboo

版主指的“访问”有定义么？445还是整体不作指向？

zooyo

地址栏 \\IP 访问

naboo

原谅我，我又想说在三层交换上做了。。。ACL，太好实现了。。。原谅我吧。。。

专卖精品

就是说用ROS如何实现！

jiaruifly

PCQ 做 SCR 标记  DST 标记  看需要不需要限制 端口
小的不是很熟  请高手指正

专卖精品

ROS可以做状态防火墙！

baozhu52033

原帖由 jiaruifly 于 2006-11-21 17:26 发表
PCQ 做 SCR 标记  DST 标记  看需要不需要限制 端口
小的不是很熟  请高手指正

老兄,你天天都说三层,,要知道,我们不像你,天生生了个富贵家庭,说买三层就买,而且,有些中小型的买三层不是浪费吗

疯狂火吻

添加IP-ROUTE mark路由可以不，我就是这样的，无线+2个网段，然后再添加MANGLE，这样能访问阿，我都分成几个网段了，要限制的话没试过，在FIREWALL里面设置DROP可不可以呢

jianxin007

我也说下想法啊：将被访问的机器看作服务器，服务器提供NETBIOS服务，客户机才能访问到。也就是说服务器要开放NETBIOS服务端口，我印象里面应该是137-139。而发起访问的客户机所使用的端口肯定不会是特权端口。也就是在1024-65535之间。根据137-139（被访问端）对应1024-65535（发起端）的对应关系，设置一些规则就应该可以实现你的想法了。

naboo

原帖由 疯狂火吻 于 2006-11-22 04:21 发表
添加IP-ROUTE mark路由可以不，我就是这样的，无线+2个网段，然后再添加MANGLE，这样能访问阿，我都分成几个网段了，要限制的话没试过，在FIREWALL里面设置DROP可不可以呢

我同意

ssffzz1

我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗，凡B到A的具有NEW状态的全部DROP掉，这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉，对IPTABLES还可以，我认为在IPTABLES中应该这样做，不知道说的对不对。

naboo

原帖由 baozhu52033 于 2006-11-21 22:06 发表
老兄,你天天都说三层,,要知道,我们不像你,天生生了个富贵家庭,说买三层就买,而且,有些中小型的买三层不是浪费吗

大哥，你说的不对，三层智能弹性交换才是中小企业（也包括网吧）的首选，他是解决你内网VLAN划分、广播隔离、ARP欺骗最根本的设备，性能可靠，比你自己组装的ROS可靠的多！而且就现在的价格来说相当便宜的。
生产当中的大毛病不说，就说隔三差五的小病都够你受的。所以，做网络更要严谨，该布署三层要上三层，该用墙一定用墙。

jianxin007

原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗，凡B到A的具有NEW状态的全部DROP掉，这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉，对IPTABLES还可以，我认为在IPTABLES中应该这样做， ...

同意。因为，NEW状态相当于初始的TCP SYN请求或第一个UDP数据包。把B的握手请求DROP掉，连接当然不能建立了。