smile787，bow，太美，你们来哦，困扰，相当困扰.........

笛子

我这里使用RUTEros29.6，小区大概200户，网关10.45.0.*，使用PPPOE上网， 192.168.100.1-192.168.103.254是允许拨号上网的段；DHCP是分配10.45.45.0/24段，是不允许上网的；现在发现，有用户使用wingate软件，并使用10.45.45.27做网关后代理上网，根本不用拨号就可以上网了，晕死啊；按照帖子里说的，已经做了防止二级代理的设置，不知道那里出了问题，请指教啊，规则里都没允许DHCP分配的段上网啊，我都快疯掉了，疯掉了.........

casper2000

你做pppoe那张网卡,只跑pppoe不要配置IP这些.

cracks

可能是你配置的问题，你在好好检测 一下规则 及配置信息吧，

你的要求是可以用ROS实现的。以后在发问时最好不要写版主的id，只发问题就可以了。


① 限制非法代理
　　ROS宽带接入服务具有自动防止用户使用双网卡、或SyGate类软件、或串接HUB、路由器等各种方式进行非法代理上网的功能。

　　② 一机多能
　　 ROS集成了常用的多种网络功能：电信级PPPoE和WEB认证服务器功能，PPPoE客户端功能，OSPF、BGP4高级路由器功能，防火墙和NAT功能，VPN功能，DHCP Server和Relay功能，DNS Cache功能等等。避免了使用功能单一的设备时，每新增一项业务种类就需要增加相应功能的设备，从而大大减少了投资成本、维护管理成本和业务成本，提高了服务质量。

　　③ 强大的认证计费功能
　　支持PPPoE和WEB（Hotspot）认证和计费，支持全功能的Radius特性；
　　支持用户账号与MAC、VLAN、端口、IP等多种元素的绑定。
　　支持定时、限流量、限带宽、限主机、限地理位置等多种用户控制功能。

秋风  2006-7-6



[ 本帖最后由 cracks 于 2006-7-6 09:32 编辑 ]

笛子

小区没给用户设定固定的IP，只能通过DHCP来分配，规则里都没允许DHCP分配的段上网啊

专卖精品

楼主啊楼主，你在NAT的源地址里只填写192.168.100.1-192.168.103.254就行了啊

这么简单的问题！

或者你在firewall里面加一条DROP，阻止所有10.0.0.0/8转发！

笛子

chain=srcnat src-address=192.168.100.1-192.168.103.254 action=masquerade
这条规则当然有

可是，没有10.45.45.0/可以masquerade的规则啊！！

笛子

奇怪的是为什么可以穿越？我通过tracert跟踪路由
C:\Documents and Settings\Administrator>tracert www.163.com
Tracing route to www.cache.split.netease.com [220.181.28.42]
  1

bow

wingate下的地址是192的网段把。禁止10和192的网段路由

笛子

不行，没有作用，我试着访问，telnet 10.45.45.27,出现  WinGate>  的画面！！

风中的云

明显是用户作共享时出错，类似于那种单网卡共享。
解决方法是
1用vlan交换机把用户隔离。
2建立ip-mac-用户表查找
3用arp欺骗手段

笛子

可是跟踪路由 他的前面是拨号得到的地址192.168.100.178！！！可是，仍然不能在OS发现这个地址，所以很迷茫，很迷茫

笛子

实在是没办法了，困扰，困扰啊

笛子

顶起来~~

bow

你先确定是通过什么ip上的网。

笛子

我估计是这条规则的问题，
chain=srcnat src-address=192.168.100.1-192.168.103.254 action=masquerade
也就是允许拨号用户得到OS分配的IP后masquerade，如果对方利用这段的其中一个地址，会不会..........