[請益] firewall 設定問題

看板NetSecurity (資安 資訊安全)作者 (Plug & Pray)時間18年前 (2007/08/27 21:24), 編輯推噓4(401)
留言5則, 4人參與, 最新討論串1/1
狀況: 區網中有P2P重度使用者,為了自己上網的權益, 私自設定該死的規則。 設備: CHT 640K/8M, D-link DI-704P 全部的 IP 皆是透過 704P 作 DHCP 來分配。 704P 設定: 特殊應用程式: 網域名稱 觸發器 公用服務埠 MSN 1863 6891-6900,6901,5190 firewall: 功能 名稱 來源 目的 協定 允許 MSN_others *,* *,* *,6891-6900 允許 MSN_voice *,* *,* UDP,5190 允許 MSN_main *,* *,* *,1863 rule 5 允許 Web_access *,* *,* *,1-1024 rule 4 拒絕 Block_all *,* *,* *,* rule 3 允許 Ping WAN port WAN,* WAN,* ICMP,* rule 2 拒絕 Default *,* LAN,* *,* rule 1 允許 Default LAN,* *,* *,* ========================================================================== 施行結果報告: 失敗! 起初雖然大家都很高興,連自己的P2P都不能用了,只能乖乖的上網看網頁, 打ptt、 MSN。 但對方仍通行無阻。 只見它透過 port 22(UDP),接下來透過某台機器的 port 12013,仍 然將 router 操翻掉。 當然,網路速度可想而知。 ======================================================================= 解決方式: 找出來聊天;對方一直說自己網路也一直斷,只能用MSN和網頁,最多看看網路電視; 絕對不說自己有在使用p2p, (研判是 foxy,port number 沒有連結邏輯,每個port都會被用) 上面的規則全部刪除,大家又回到蠻荒時代,看誰Layer高,誰的頻寬就搶得多。 結論及請教: 1. 防火牆設定有誤!? 2. 別想得太多,拳頭大的是老大;不承認的就會贏的最終的勝利。 3. 仍然不知道對方使用啥軟體來閃過防火牆的設定? 謝謝。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.112.208.65 ※ 編輯: tkaowei 來自: 59.112.208.65 (08/27 21:25) ※ 編輯: tkaowei 來自: 59.112.208.65 (08/27 21:25) ※ 編輯: tkaowei 來自: 59.112.208.65 (08/27 21:25) ※ 編輯: tkaowei 來自: 59.112.208.65 (08/27 21:27)

08/28 15:48, , 1F
704有MAC或IP過濾功能嗎?有的話就設定下去吧。
08/28 15:48, 1F

08/28 15:48, , 2F
設定大家使用的尖峰時間暫時讓對方不能上網
08/28 15:48, 2F

08/29 00:48, , 3F
有阿,可是不能設定時間~~~ ==A
08/29 00:48, 3F

08/29 04:32, , 4F
很多P2p軟體只擋port是擋不掉的,必須使用IPS來擋
08/29 04:32, 4F

09/04 12:51, , 5F
設上QoS吧.....針對實體的interface限制bandwidth也行...
09/04 12:51, 5F
文章代碼(AID): #16qj27gR (NetSecurity)
文章代碼(AID): #16qj27gR (NetSecurity)