设为首页收藏本站
切换到窄版

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
自由的生活_软路由»交流 ::技术区:: RouterOS 关于ROS局域网内互访的讨论
12345下一页
返回列表 发新帖
楼主: zooyo

[其它] 关于ROS局域网内互访的讨论

[复制链接]
zooyo
 楼主| 发表于 2006-11-22 10:00:39 | 显示全部楼层
原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗,凡B到A的具有NEW状态的全部DROP掉,这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉,对IPTABLES还可以,我认为在IPTABLES中应该这样做, ...



此兄回答得相当正确,完全掌握了IPTABLES中的精髓和在ROS上的熟练应用。授予ROUTERCLUB的今日之星!鼓掌!!!
routeros
回复

使用道具 举报

ssffzz1
发表于 2006-11-22 10:26:37 | 显示全部楼层
谢谢夸奖,我正在晕呼中。
麻烦老大看看此帖发表一下意见,先谢谢了。
http://bbs.routerclub.com/thread-18182-1-1.html
routeros
回复

使用道具 举报

发表于 2006-11-22 11:18:31 | 显示全部楼层
原帖由 ssffzz1 于 2006-11-22 08:52 发表
我觉的关键的难度在与回流的数据包部分。
用防火墙不可以吗,凡B到A的具有NEW状态的全部DROP掉,这样B就不能到A发起连接。而A到B却可以。
我对ROS不太熟悉,对IPTABLES还可以,我认为在IPTABLES中应该这样做, ...


正确,高手!
routeros
回复

使用道具 举报

发表于 2006-11-22 11:42:02 | 显示全部楼层
原帖由 zooyo 于 2006-11-22 10:00 发表



此兄回答得相当正确,完全掌握了IPTABLES中的精髓和在ROS上的熟练应用。授予ROUTERCLUB的今日之星!鼓掌!!!



吃醋中~~~~~~~~~~~~~~~~~~~~~~~~~~~~~俺的也可以做到 :')

[ 本帖最后由 jianxin007 于 2006-11-22 11:43 编辑 ]
routeros
回复

使用道具 举报

parphy
发表于 2006-11-22 11:42:13 | 显示全部楼层
这个贴发得很有实际意义,例如单向PING也是可以用类似的方法,只是将TCP的属性换成ICMP的属性即可
routeros
回复

使用道具 举报

发表于 2006-11-22 11:44:53 | 显示全部楼层
原帖由 jianxin007 于 2006-11-22 11:42 发表



吃醋中~~~~~~~~~~~~~~~~~~~~~~~~~~~~~俺的也可以做到 :')


楼主给了一个错误的导向,楼主本来的意思是完全无法访问,而不仅仅是局域网访问!所以不仅仅是TCP,是任何访问!
routeros
回复

使用道具 举报

parphy
发表于 2006-11-22 12:05:11 | 显示全部楼层
吃什么醋?你已经和今日之星英雄所见略同了!
不如赶快回家搞个反向连接,把楼主的封锁黑了它,哈哈
routeros
回复

使用道具 举报

发表于 2006-11-22 12:07:58 | 显示全部楼层
原帖由 专卖精品 于 2006-11-22 11:44 发表


楼主给了一个错误的导向,楼主本来的意思是完全无法访问,而不仅仅是局域网访问!所以不仅仅是TCP,是任何访问!


没听懂,真的!怎么感觉是绕口令?
我稍微解释一下:
我的思路是:由源地址(B网)发来的数据包,其源端口号范围为1024-65535,并且其目地址是A网网段,目的端口号是1-1023,DROP掉。
用地址栏 \\IP 访问A网,难道不是访问A网的NETBIOS服务吗?所以,目的端口号只局限在137-139之间就可以了。除非版主的意思是拒绝B网访问A网的任意服务。(因为有些服务所使用的监听端口号是在1-1023之外的非特权端口)
再有,请专卖精品看一下版主所贴出来的示意图,A、B两网的接口是LAN1和LAN2。既然是LAN,就是指局域网了。


欢迎拍砖~~~~~~~~
routeros
回复

使用道具 举报

发表于 2006-11-22 12:13:32 | 显示全部楼层
所以我说楼主给了错误的导向

不能访问,指的是任何连接!而不仅仅是1-1023端口
routeros
回复

使用道具 举报

发表于 2006-11-22 12:15:10 | 显示全部楼层
而且,你DROP端口,会造成A到B无法访问的
routeros
回复

使用道具 举报

zooyo
 楼主| 发表于 2006-11-22 12:15:22 | 显示全部楼层
矛头指向我了
routeros
回复

使用道具 举报

发表于 2006-11-22 12:24:09 | 显示全部楼层
原帖由 专卖精品 于 2006-11-22 12:13 发表
而且,你DROP端口,会造成A到B无法访问的


A到B怎么会不能访问?发起端建立TCP连接的时候,系统会默认分一个非特权端口给这个连接。服务提供端一般都是使用1-1023之间的特权端口进行监听。连接建立之后,双方的端口是按这个规律一一对应的。(比如,192.168.0.1:5555>>>>192.168.1.1:80)A向B发起请求的时候,A的端口是1024-65535之间,B的端口是1-1023之间,这两组端口在我所假设的规则中并没有被DROP,怎么会不能访问呢?

[ 本帖最后由 jianxin007 于 2006-11-22 12:25 编辑 ]
routeros
回复

使用道具 举报

发表于 2006-11-22 12:33:40 | 显示全部楼层
原帖由 jianxin007 于 2006-11-22 12:24 发表


A到B怎么会不能访问?发起端建立TCP连接的时候,系统会默认分一个非特权端口给这个连接。服务提供端一般都是使用1-1023之间的特权端口进行监听。连接建立之后,双方的端口是按这个规律一一对应的。(比如, ...


那如果我要FTP呢?或者是WEB呢?不要钻牛角尖,都跟你说了是任何访问,而不要被楼主误导仅仅是\\SERVER访问!
routeros
回复

使用道具 举报

platinum
发表于 2006-11-22 12:36:35 | 显示全部楼层
基于状态控制就可以
打开路由转发,禁止 B -> A 的 NEW 包通过即可
routeros
回复

使用道具 举报

发表于 2006-11-22 12:43:12 | 显示全部楼层
原帖由 专卖精品 于 2006-11-22 12:33 发表


那如果我要FTP呢?或者是WEB呢?不要钻牛角尖,都跟你说了是任何访问,而不要被楼主误导仅仅是\\SERVER访问!


不钻牛角尖怎么能相互提高呢?FTP开放的是21端口,WEB是80端口。都在1-1023端口范围里面。我没有DROP掉A发往B的目的端口为1-1023的数据包。那么,FTP和WEB应该可以连接。怎么会出现A不能访问B的现象呢?

如果是拒绝B访问A的任何连接,今日之星的答案无疑是最正确的。我的答案是他答案的一个子集,并且应该是可能性最大的一个子集。

请专卖精品大人看好了,我现在的矛头可是直指您的“A不能访问B”那句话啊~~~

拍我吧~~~~~~~~~~~~~
routeros
回复

使用道具 举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-9-28 20:13 , Processed in 0.078799 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表