我来提问大家答系列之三(都来积极讨论)

zooyo

问题一：
环境如下：
    假设防火墙中没有任何规则
问：
    如何使自己被 ping 时只能每秒响应 3 个 ping 包



问题二：
环境如下：
    client 使用公网 DNS 服务器
    假设所有 WEB 服务器都使用 TCP/80
    假设防火墙中已允许所有内网人员上网
问：
    如何在现有规则的基础上修改，使 IP 为 192.168.0.5 的内网用户只能浏览网页？



问题三：
环境如下：
    假设所有 client 均使用同一公网 DNS 服务器
问：
  如果有一天公网 DNS 服务器坏掉了，如何让用户在不修改网络配置的情况下仍可以继续上网？


大家踊跃发言积极参加讨论，回答详细且正确者授予当日之星封号！

ssffzz1

我先问一下.对于第一题的机器是否和网关是同一台,网关的防火墙规则能不能修改.本机是否可以做防火墙.
第二题,防火墙的规则能不能修改,网关的其它规则呢?
第三题:自己在网关上虚拟配置一个公网DNS的IP地址,架一台缓存或转发DNS服务器绑定到该地址,加入正确路由.就可以了.个人认为DNAT重定向也许可以,但没有实验过.

[ 本帖最后由 ssffzz1 于 2006-11-29 11:57 编辑 ]

ssffzz1

刚才验证了,第三题用作DNAT的方法也可以.

ssffzz1

第一题:icmp_ratelimit   icmp_ratemask配合调整.

platinum

原帖由 ssffzz1 于 2006-11-29 11:56 发表
第二题,防火墙的规则能不能修改,网关的其它规则呢?

不能

fysfxy

偶是菜鸟，等答案！

zooyo

大家认为解决了问题的，请不要吝惜，发一下ROS的规则。

ssffzz1

呵呵，斑竹要的是规则啊。请问
第一题的答案应该可以的，LINUX2.6内核的参数，2.4应该也有的不过名字不一样，我实验了可以的。不过在ROS中调整有些困难。如果网关的规则可以修改的话就简单了，防火墙加入一条限制ICMP ECHO速度的的规则就可以了。
第二题如果防火墙规则不可修改，实现起来有些困难，我正在思考中。如果可以改防火墙，则加入相应的规则，不过规则的位置应该注意。
第三题用ROS就可以做的，要么自己开DNS转发服务器和外网的IP相同但DSN服务器转发出的查询保文应该做NAT，否则无返回报文。要么做DNAT，把到改DNS的报文重定向到别的正常的DNS服务器。这应该是最简单的方法。

platinum

1、用 limit 模块
2、在适当的位置按照适当的顺序插入适当的规则即可
3、用 DNAT

zooyo

大家要基于ROS而实践噢！

cracks

问题三：
环境如下：
    假设所有 client 均使用同一公网 DNS 服务器
问：
  如果有一天公网 DNS 服务器坏掉了，如何让用户在不修改网络配置的情况下仍可以继续上网？


路过。配置dhcp-server分发给client时，分发两个dns,主dns挂掉时，client机会自动寻求采取第二个dns进行解析。

peterchen

问题三：
环境如下：
    假设所有 client 均使用同一公网 DNS 服务器
问：
  如果有一天公网 DNS 服务器坏掉了，如何让用户在不修改网络配置的情况下仍可以继续上网？

先设置好你ROS的DNS，
然后在你的INTERFACE的LAN口上加上电信的DNS这个地址的IP

peterchen

问题二：
环境如下：
    client 使用公网 DNS 服务器
    假设所有 WEB 服务器都使用 TCP/80
    假设防火墙中已允许所有内网人员上网
问：
    如何在现有规则的基础上修改，使 IP 为 192.168.0.5 的内网用户只能浏览网页？

forward src.add=192.168.0.5 dst.prot tcp 80 accept
forward dst.prot tcp 80 drop

tpy372

楼上的规则qq可以上哦..
+字段才行

bullfog6

不会，占个位置，等结果