win2000 软路由的筛选器如何设置?如何区分输入和输出?假设如下情况,能否实现网段A能访问网段B,而网段B不能访问网段A,如何实现?
{网络A}==网卡a:RRAS:网卡b=={网络B}
一、预备知识:
1、实际中常需要针对具体应用作限制,那么网管就需要了解:常用服务、应用所用的协议及端口,可查阅winntsystem32driversetc protocol和文件services。如WEB服务器所用的http使用tcp:80口;ftp要使用tcp:20口来传数据,tcp:21口来控制;ping命令依赖协议号为3的ICMP协议。
2、TCP会话连接建立过程,以客户机访问WEB服务器(192.168.0.1)为例说明:
(1)客户机-->服务器,发出会话请求:192.168.0.1:80口在吗?
(2)客户机<--服务器,服务器会应答:在呀!我们怎么交谈?
(3)客户机-->服务器,发出它的建议:我使用1300口和你的80口交谈,怎么样?
这样服务器使用众所周知的http的默认80口,与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的TCP连接过程中的三次握手。
后面为了描述方便,简述为:客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样,如客户机以任意端口去连FTP服务器的默认tcp:20和21口;以UNC路径(形如:\192.168.0.1或\server或\server.mcse.com)或网上邻居去访问网络共享时,是客户机以任意端口去连服务器的默认tcp:139或tcp:445口,注意这里是“或”,已在2000计算机环境中实验证明。
3、任何宏观上的访问过程的本质都是两向的,即源向目标发出请求,目标向源返回答。两个方向都通,用户才能看到宏观上的访问(或者说通了)。如下图,B访问A将依次经过1—4这4步:
(2) (1)
<--网卡a-RRAS<--网卡b—
—网卡a -->RRAS—网卡b -->
(3) (4)
4、输入还是输出筛选器,是指经过具体网卡,是进入还是离开RRAS这台计算机的而言的。以B网段客户机B1以任意端口去连A网段WEB-A服务器的默认80口为例,筛选器应做如下配置。说明:端口不配或配置为0表示任意端口。
(1)网卡b上,输入筛选器。源:B,端口:0 ;目标A端口:80;
(2)网卡a上,输出筛选器。源:B,端口:0 ;目标A端口:80;
(3)网卡a上,输入筛选器。源:A,端口:80;目标B端口:0;
(4)网卡b上,输出筛选器。源:A,端口:80;目标B端口:0;
二、分析:能否实现A到B通,B到A不通。
1、若是针对所有应用(对应任意端口)实现,答案是否定的。
2、若是针对单项应用,如前面提到的客户机访问WEB服务器,可以实现。即:
A网段用户能访问WEB-B服务器,B网段用户不能访问WEB-A服务器。
原理:配置好RRAS后,A到B,B到A,就都是通的。关键要把B到A的WEB-A设成不通。将前述4步,任意一步阻断,就可实现。也就是说有4种方法,理论上讲在(1)上设效果最优,但实际上差别不大。
3、既然单项应用可以实现,我们可以多做几条筛选器,把常用的应用、服务都罗列上,近似可以实现1中的要求。
三、操作方法如下:
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
1、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。这两名话翻译的不好,可按如下理解:接收所有,除了下列数据包;丢弃所有,除了下列数据包。
2、在源网络和目标网络设置中什么都不选:相当于“任何”。另外:
指定某一个IP,形如IP地址:192.168.1.100,子网掩码:255.255.255.255。
