某些不知道端口号的程序的开放方法
比如某些期货交易软件,出于安全方面的考虑,不会在网上公开所使用的端口号和交易服务器的地址,这样的程序要在ACL中放开对它的限制就比较困难,但是前几天也让我找到了解决的方法。即首先在CISCO3550交换机的18口上取消ACL的应用,这样8楼竖井的交换机下面的用户就可以使用期货交易系统了,先在一台微机上退出所有的运行的网络程序,执行一遍netstat –an,然后联上交易系统,再执行一遍netstat –an,对比两次显示的结果,就会发现在目标地址里多出了一个地址,这个地址就是交易服务器的地址,我们在ACL中允许内网所有的微机对这个地址的访问就OK,如下所示:
permit ip any host 58.*.*.26
(这是某期货交易软件的交易服务器的地址)
准确找出某个应用程序所用的端口号
有一些网络应用程序,比如聊天工具,会使用多个服务器,但是程序所用的端口号是相对固定的,比如昨天有一位同事在家里给我打来电话(家里面也是用的单位局域网),说是一个名叫YY的聊天程序不能使用,希望我帮助他处理一下,有了上一次的经验,我感觉比较有信心了,还是通过netstat –an来找到所需的信息,但是这次我加了一点小技巧,那就是通过管道命令将两次显示的结果分别记录到两个文件中,再通过FC命令比较这两个文件,即将准确的找到所需的信息,命令操作如下:
- D:/>netstat -an >>1230.txt
- D:/>netstat -an >>1230a.txt
- D:/>fc 1230.txt 1230a.txt
正在比较文件 1230.txt 和 1230A.TXT
- ***** 1230.txt
- TCP 10.65.158.16:3917 61.158.244.141:7081 TIME_WAIT
- TCP 127.0.0.1:1032 0.0.0.0:0 LISTENING
- ***** 1230A.TXT
- TCP 10.65.158.16:3917 61.158.244.141:7081 TIME_WAIT
- TCP 10.65.158.16:3993 121.11.65.108:8081 ESTABLISHED
- TCP 10.65.158.16:3997 115.236.2.74:7081 ESTABLISHED
通过比较就可以看到,在已经建立的进程中,目标地址主要有两个端口号,一个是7081,一个是8081,将这两个端口放开,
- permit tcp any any eq 7081
- permit tcp any any eq 7081
再应用ACL到指定的端口,还是可以继续使用YY这款软件,说明我们已经在ACL中放开了YY软件连接网络所使用的端口号。
其实,利用360安全卫士中的流量管理中的“网络连接”功能也能看出YY程序所使用的端口号,如图2所示:
图2 通过360安全卫士的网络连接功能查看程序所使用的端口号
但是不是每台机器都安装了360安全卫士这款软件,没有条件的时候就使用netstat –an命令,有条件的话,就两个方法结合着来,这样会更准确一点。
局域网简易流控管理的应用就为大家介绍完了,希望大家已经掌握来。
转载连接:http://network.51cto.com/art/201104/255105.htm