请教:ROS如何只只只让PPPOE的合法用户上外网？

tassel

我这里构造了2个地址池：192.168.0.0/24，网关为192.168.0.1；这个给PPPOE用户使用
另一个为10.0.0.0/16，没有网关，这个给普通用户用，这样他一开机就可以拿到一个IP，但无法NAT上外网。

PPPOE的合法用户可以拨入，得到192.168...的地址，NAT上外网都没有问题。

但问题是非PPPOE的用户在自己的机子上手工修改自己电脑的IP地址，如：192.168.0.13，网关也为192.168.0.1，DNS他可以自己找一个我们这里电信提供的DNS的IP填入，这样他也可以通过NAT上外网。

有没有办法限制这种私自修改IP的上外网，而只让PPPOE的合法用户通过NAT上外网？

网络-浪子

LAN口不要配置同PPPOE一个段的IP地十.

tassel

问题是用户自己会修改IP地址，将其改成与PPPOE客户相同，怎么办？急！

小狼

原帖由 网络-浪子 于 2008-11-9 20:36 发表

                               
登录/注册后可看大图

LAN口不要配置同PPPOE一个段的IP地十.

或者LAN口干脆不设IP。

专卖精品

不设IP不给用DHCP的！

方法很简单，把LAN口的ARP给disable

tassel

这确实是个办法,值得一试，但是我觉得恐怕还是有漏洞：
如果下面非PPPOE合法用户用arp配置一个静态的IP-MAC对应表，是不是还是能访问到网关？

houjh

其实很简单，只要上两个LAN口，一个走PPPOE，一个走内网就是了。走内网的不配NAT就可以可。走内网的用户接在这个lan口下

专卖精品

原帖由 tassel 于 2008-11-10 06:59 发表

                               
登录/注册后可看大图

这确实是个办法,值得一试，但是我觉得恐怕还是有漏洞：
如果下面非PPPOE合法用户用arp配置一个静态的IP-MAC对应表，是不是还是能访问到网关？

没有ARP，即使你知道LAN口的MAC，同样没用，你试试吧，水平在测试中获得提高！

nhschool

专卖精品说得对，当然如果能再配个网卡，问题更容易解决

benben418

LAN口不配IP，ARP选择“reply-only”，不拨号的就上不了了，怎么改IP和MAC也没用的。。。

redzebra

就是网络-浪子的方法，详细点就是：
我现在的做法是pppoe用户用的是一个地址池，让ROS自己分配服务器端ip和客户端ip(pppoe拨号后只有服务器端IP和客户端IP）。
做nat的时候在src.Address添你能上网的地址段（如你的是192.168.0.0/24）
LAN 的IP用另一个网段的就可以了。
有没有效，尝试你就清楚了。

tassel

试过了，LAN不给DHCP，LAN的ARP禁用即可。效果非常好！
LAN客户自己装静态ARP可以，但是是单向的。Router的LAN端还是不会与这个LAN客户建立通信的

专卖精品

LAN口可以用DHCP，只需不给ARP就行