关于A能访问B,B不能访问A的另一解法

ssffzz1

刚才回家走路是想到的另一解法.
A网络和B网络之间用ros连接,设ROS为T1,
把A网络的缺省路由(或通向B网络的)指向T1,在T1上为A网络做SNAT,这样A网络通过SNAT可以访问B,而B网络的缺省路由(或通向A网络的路由)却不是指向T1,这样B网络到A网络就没有路由可走,同样也不能访问A网络.

zooyo

这个方案适合在VPN等隧道连接中使用，ROS上的2个网段，就不会这样了，因为ROS本身就是桥。

ssffzz1

是啊，ＲＯＳ要关闭桥的．

专卖精品

默认的桥无法关掉吧

zooyo

这个问题我试验过，跨网段访问可以封445端口。我试过192.168.1.0/24和172.168.1.0/24之间封445端口就不行了.

ssffzz1

刚才,我实验了.用我说的方法完全可以的.如果AB在同网段,需要关网桥(ROS可能没法关),如果AB是不同的网段则完全可以.想一下,我们日常用的NAT就是这种情况,内部是私有地址,而通过NAT,则内部可以上网,而外部不可以访问我们.

专卖精品

原帖由 ssffzz1 于 2006-11-22 13:05 发表
刚才,我实验了.用我说的方法完全可以的.如果AB在同网段,需要关网桥(ROS可能没法关),如果AB是不同的网段则完全可以.想一下,我们日常用的NAT就是这种情况,内部是私有地址,而通过NAT,则内部可以上网,而外部不可以访 ...

NAT是一开始就想到的东西，但你可能没有想到一个问题，如果大家都是公网IP地址呢？也就是说不能做NAT呢？你怎么办？

这个问题是一个做公司网络的朋友提出的，最后只有利用状态连接来解决！

ssffzz1

NAT并不是说私网专用的,SNAT只是转换源地址.如果两个都是公网其中一边用NAT也是可以的.DNAT(DMZ区)就是一个例子.这个我实验过.其实路由应该是不分公网还是私网IP的,它只是一种数据报转发策略.

zooyo

原帖由 ssffzz1 于 2006-11-22 13:24 发表
NAT并不是说私网专用的,SNAT只是转换源地址.如果两个都是公网其中一边用NAT也是可以的.DNAT(DMZ区)就是一个例子.这个我实验过.其实路由应该是不分公网还是私网IP的,它只是一种数据报转发策略.

都是公网IP，其中一边做NAT   这是个什么概念，能详细解释一下吗？

专卖精品

明白你的意思，我的意思是说，NAT是把所有都转换为1个IP了，而且，这个NAT表是有限度的，太大了影响效率，况且还有一些特殊要求，比如，B网络中的某个地址不能被A网络中的某个地址访问，做NAT的话就无法限制了！

xqs428

很不想说的一句是2.9.27已经默认的网桥关闭了........
没看过吗?

xqs428

另外想说的是ARP不是欺骗交换机,是在交换环境下进行的欺骗,还有就是发送大量虚假的包欺骗网关,ARP是发生在三层下,但是对用户的欺骗不经过上层设备,所以难搞,欺骗网关的还搞,欺骗用户的从下面的二层交换就跑过去了,^_^

seignior

和xqs428的看法一样。

ssffzz1

我说的一边做NAT是这样的。
A和B网经过R1路由器相连，AB均公网IP地址，在R1路由器上为A网做SNAT（和原来的SNAT一样，只是A网部分是公网IP），A网的缺省（或到B网的）路由为R1路由器，B网的缺省（或到A网的）路由不是R1路由器，这样A网只能访问B网，而B网不能访问A网。上面提到的，限制某IP不能访问某IP，也可以通过路由表解决（LINUX是可以这样的），不过我认为通过路由表解决不是好办法。既然都可以做SNAT了，为什么不在防火墙上限制某IP对某IP的访问呢？问题又回到防火墙上了。但防火墙却不需要做状态跟踪机制。不知道说的对不对

专卖精品

原帖由 ssffzz1 于 2006-11-22 14:40 发表
我说的一边做NAT是这样的。
A和B网经过R1路由器相连，AB均公网IP地址，在R1路由器上为A网做SNAT（和原来的SNAT一样，只是A网部分是公网IP），A网的缺省（或到B网的）路由为R1路由器，B网的缺省（或到A网的）路 ...

现在的防火墙都可以做状态机制吧，看一个资料说的！