最近还在不停的改进。。。
朋友,你的设置能不能将你最新的设置共享一下向你学习啊 QUOTE (yichang01 @ Feb 23 2005, 11:43 AM)
这么复杂,会不会影响路由器的效率,您的机器什么配置,带了多少用户。将将看,谢谢。
C-500(直插式)+64MB内存+2GB硬盘++intel440BX主板,带了近乎70台计算机.计算机分布比较广.内部分为四个网段,对内提供DHCP和PPPOE服务.对外提供PPTP\L2TP服务,530-1-wan用电信的线路.530-1-lan用172.17.16.0/24固定IP(个别限制速度和限时上网),8139D用172.17.17.0/24固定IP(限制速度)ISA NE2000 是做DHCP和PPPOE服务用的是172.17.18.0/24网段(限制速度).而且在8139D网卡上虚拟出172.17.19.0/24网段,做PPTP\L2TP服务提供172.17.19.0/24网段(限制速度).并且结合带VLAN的交换机.在ROS里设置好使各个网段不能互相通讯.限制单个ip或者一个段速度都可以,而且限制P2P类似的下载速度,(不过呢,我和另外一台计算机使用电驴全天下载.)封闭BT下载,防火墙规则参照官方站点设置.自己又添加了一些.平时上网最高峰的时候CPU是5%左右..内存剩余是39MB多.(每天长开的计算机有8台连接外网,两台长期开着电驴下载东西.).对外提供www三个服务,FTP三个..开了ROS的demo... 这是我见过的最复杂的防火墙。尤其是VIRUS部分!我也从中学到了不少东西,谢谢分享!但是我还是有几个问题想请教一下1、封堵那么多端口一定是必要的嘛?有些病毒一定会对ROS造成威胁嘛?封堵这么多会不会影响ROS的运行效率?2、
CODE
add protocol=igmp action=drop comment="" disabled=no add protocol=igmp limit-count=30 limit-burst=2 limit-time=5s action=accept \ ??omment="" disabled=no
上面的语句如果被ROS按照先后顺序来执行的话,会不会是无效的语句?3、
CODE
add protocol=tcp tcp-options=non-syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no add protocol=tcp tcp-options=syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no
这两句用来做什么?『能举例最好』其中,non-syn-only 和syn-only 该如何理解?4、
CODE
/ip firewall rule input add dst-address=:20561 protocol=udp action=drop comment="" disabled=no add dst-address=:25505 protocol=tcp action=drop comment="" disabled=no
这两句如何理解?5、
CODE
/ip firewall rule vriusadd dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" disabled=no add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
是不是重复了?让ROS辛苦两次:)6、
CODE
/ip firewall rule vriusadd dst-address=:3389 protocol=tcp action=drop comment="drop 远程服务访问端口3389" \ disabled=no add dst-address=:3389 protocol=udp action=drop comment="" disabled=no
肉鸡能中到ROS上嘛?还有,我记得3389远程连接好像是基于IP的吧?不关UDP什么事情吧? 楼上的观察好仔细,我增加了对SYN的控制并修改了部分条目的顺序和位置,感觉效率还不错。 QUOTE (jack_i5 @ Feb 23 2005, 10:54 PM)
这是我见过的最复杂的防火墙。尤其是VIRUS部分!我也从中学到了不少东西,谢谢分享!但是我还是有几个问题想请教一下1、封堵那么多端口一定是必要的嘛?有些病毒一定会对ROS造成威胁嘛?封堵这么多会不会影响ROS的运行效率?2、
CODE
add protocol=igmp action=drop comment="" disabled=no add protocol=igmp limit-count=30 limit-burst=2 limit-time=5s action=accept \ ??omment="" disabled=no
上面的语句如果被ROS按照先后顺序来执行的话,会不会是无效的语句?3、
CODE
add protocol=tcp tcp-options=non-syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no add protocol=tcp tcp-options=syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no
这两句用来做什么?『能举例最好』其中,non-syn-only 和syn-only 该如何理解?4、
CODE
/ip firewall rule input add dst-address=:20561 protocol=udp action=drop comment="" disabled=no add dst-address=:25505 protocol=tcp action=drop comment="" disabled=no
这两句如何理解?5、
CODE
/ip firewall rule vriusadd dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" disabled=no add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
是不是重复了?让ROS辛苦两次:)6、
CODE
/ip firewall rule vriusadd dst-address=:3389 protocol=tcp action=drop comment="drop 远程服务访问端口3389" \ ??isabled=no add dst-address=:3389 protocol=udp action=drop comment="" disabled=no
肉鸡能中到ROS上嘛?还有,我记得3389远程连接好像是基于IP的吧?不关UDP什么事情吧?
谢谢指正你说的第三个问题呢.其实我是在原来的基础上做的测试.看看其他设定有什么反常.是针对无效连接做的测试而已...第四个问题,以前曾经听别人说这两个其中一个端口和什么(我也记不起来了)有关联.我就封闭了。你也可以不选择这条.第五点.我发过帖子后仔细检查过.发现确实2745是重复了。已经修改过了。不过在这里还是要谢谢你.第六点.不是说要防ros被人控制.主要是防范内部的计算机被人控制...把出入全部封闭.你没有看见我在INPUT\FORWARD\OUTPUT都做了关于VIRUS的设定吗?你没看见我也做了TCP的规则吗?我做UDP规则,我是想看看有没有UDP的包流量.其实并没有着重..这些防火墙规则.不一定适合你们.不过你们可以借鉴和参考...我也是看CPU的量来修改防火墙规则的... 哦。对了。里面封闭25端口.我是限制不允许内部用OE和FOXMAIL软件发送邮件出去.另外1723端口(标准的)和500端口(ipsec)端口是针对VPN的.我在input\forward\output里做了jump的语句,分别执行virus和lanip里的规则... 嗯,hzkane的防火墙写的很好,值得借鉴..,谢谢 谢谢,我也真需要...................
页:
[1]