找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3614|回复: 8

[其它] 发我的firewall代码,哪位高手帮我查查有什么问题!

[复制链接]
发表于 2005-3-5 00:40:21 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
偶的# mar/04/2005 08:06:43 by routeros 2.8.17# software id = BN9N-07T#/ ip firewall rule input add protocol=udp action=accept comment="" disabled=no add dst-address=:135-139 protocol=tcp action=drop comment="" disabled=no add dst-address=:135-139 protocol=udp action=drop comment="" disabled=no add dst-address=:445 protocol=tcp action=drop comment="" disabled=no add dst-address=:500 protocol=tcp action=drop comment="" disabled=no add dst-address=:1024-1030 protocol=tcp action=drop comment="" disabled=no add dst-address=:1024-1030 protocol=udp action=drop comment="" disabled=no add dst-address=:1068 protocol=tcp action=drop comment="" disabled=no add dst-address=:1068 protocol=udp action=drop comment="" disabled=no add dst-address=:1723 protocol=tcp action=drop comment="" disabled=no add dst-address=:4444 protocol=tcp action=drop comment="" disabled=no add dst-address=:5554 protocol=tcp action=drop comment="" disabled=no add dst-address=:6880-6890 protocol=tcp action=drop comment="" disabled=no add dst-address=:6880-6890 protocol=udp action=drop comment="" disabled=no add dst-address=:39213 protocol=tcp action=drop comment="" disabled=no add dst-address=XXXXXXXXXX/32 protocol=icmp action=drop comment="" \    disabled=no add connection-state=invalid action=drop comment="" disabled=no add src-address=!10.128.202.0/24 action=drop comment="" disabled=no 再就是下面的这个图了大家看看。10.128.202.255:135-139都有  是UDP的。。我都封掉了的呀。为什么还有呢。这个是内网端口向外发的吧。图片在附件中。。。谢了。。。
1.jpg
routeros
 楼主| 发表于 2005-3-5 00:41:51 | 显示全部楼层
有好多这样的。。别的还好。没有了。都封了。。这样对CPU的占用有很大的问题。CPU都用到20%了。晕。
routeros
回复

使用道具 举报

 楼主| 发表于 2005-3-5 09:39:24 | 显示全部楼层
怎么没有人回复呢!帮我看看呀。
routeros
回复

使用道具 举报

发表于 2005-3-5 09:53:53 | 显示全部楼层
应该是add src-address=10.128.202.0/24:135-139 protocol=udp action=drop comment="" disabled=no 看看图中的 src-address 和 dst-address
routeros
回复

使用道具 举报

发表于 2005-3-5 10:49:14 | 显示全部楼层
如果没有病毒的话,一般没有135-139的数据包的啊是不是内网中招了
routeros
回复

使用道具 举报

发表于 2005-3-5 12:15:44 | 显示全部楼层
不一定,访问网上邻居的时候就是用的139端口!
routeros
回复

使用道具 举报

 楼主| 发表于 2005-3-5 13:47:47 | 显示全部楼层
偶试试吧。。。我也是这样想的。如果内网没有毒。。他也不会发送135-138的包对外呀。不过还好。过几天网吧要K盘了。。再就做全盘保护。。。这样就没毒了。。。。但是有一点。add src-address=10.128.202.0/24:135-139 protocol=udp action=drop comment="" disabled=no 为什么是要加入src-address=10.128.202.0./24呢。。我封的是所有的135-139。也包括内网的呀。。
routeros
回复

使用道具 举报

发表于 2005-3-5 20:03:50 | 显示全部楼层
你的规则加入的是 input,routeros只会drop 访问自己的135-139的包。而你受到攻击的端口并不是135-139,所以中招要搞清楚 input output forward 的关系
routeros
回复

使用道具 举报

发表于 2005-3-6 12:38:38 | 显示全部楼层
QUOTE (fkuxfchina @ Mar 5 2005, 12:40 AM)
偶的# mar/04/2005 08:06:43 by RouterOS 2.8.17# software id = BN9N-07T#/ ip firewall rule input add protocol=udp action=accept comment="" disabled=no add dst-address=:135-139 protocol=tcp action=drop comment="" disabled=no add dst-address=:135-139 protocol=udp action=drop comment="" disabled=no add dst-address=:445 protocol=tcp action=drop comment="" disabled=no add dst-address=:500 protocol=tcp action=drop comment="" disabled=no add dst-address=:1024-1030 protocol=tcp action=drop comment="" disabled=no add dst-address=:1024-1030 protocol=udp action=drop comment="" disabled=no add dst-address=:1068 protocol=tcp action=drop comment="" disabled=no add dst-address=:1068 protocol=udp action=drop comment="" disabled=no add dst-address=:1723 protocol=tcp action=drop comment="" disabled=no add dst-address=:4444 protocol=tcp action=drop comment="" disabled=no add dst-address=:5554 protocol=tcp action=drop comment="" disabled=no add dst-address=:6880-6890 protocol=tcp action=drop comment="" disabled=no add dst-address=:6880-6890 protocol=udp action=drop comment="" disabled=no add dst-address=:39213 protocol=tcp action=drop comment="" disabled=no add dst-address=XXXXXXXXXX/32 protocol=icmp action=drop comment="" \    disabled=no add connection-state=invalid action=drop comment="" disabled=no add src-address=!10.128.202.0/24 action=drop comment="" disabled=no 再就是下面的这个图了大家看看。10.128.202.255:135-139都有  是UDP的。。我都封掉了的呀。为什么还有呢。这个是内网端口向外发的吧。图片在附件中。。。谢了。。。  
  防火墙规则还是过于简单。连起码的UDP 123端口等都没封闭。。继续努力。。。TCP 1723端口是标准的VPN端口。你都封了?呵呵,
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 05:25 , Processed in 0.120595 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表