可能很多朋友都像我這樣幾個人合租一條ADSL的線路上網,現在電信和網通都不允許ADSL Modem打開路由功能了,所以就有了在ADSL Modem後面添加一個寬帶路由實現多人上網的方案。圖1
但是,這樣子有些朋友要在內網發佈自己的WEB站點就不是很方便了,很多朋友都在用花生殼之類的動態解析軟件,但是那個是針對動態IP的,而到了內網就……有時候自己做了頁面,向朋友show一下都不方便;或者有人在用BT瘋狂下載電影,把大家拖累的百度這樣的簡潔頁面都打不開。其實,寬帶路由可以幫我們實現一些“整改”措施的。OK,Let’s go! 讓我們一起榨乾寬帶路由的最後一滴油水!
我這裏用的寬帶路由是TP-Link的R402 Sohu寬帶路由器,界面還是很直觀的。圖2
1、利用寬帶路由發佈網站
1.1 用虛擬服務器發佈網站
我們要發佈自己的網站很簡單,首先在本機做好IIS或者Apache之類的WEB服務器,然後打開你的寬帶路由配置界面,點“轉發規則-虛擬服務器”看到如下界面:圖3
我的電腦IP地址是192.168.1.9,IIS端口是80,就按照第一條的設置,第二條是給FTP的;第三條是給Telnet的,你可以按照這個自己設置下面的。協議看你自己的需求,可以選用TCP或UDP,也可以選擇All。然後夠選後面的“啓用”,保存就OK了。
這樣,你可以在“運行狀態”菜單下面找到你的IP地址,把它發給你的朋友,讓他們測試下你做的站點是不是很優秀!
1.2 用DMZ主機發佈網站
其實發布你的站點還可以利用“轉發規則-DMZ主機”實現,所謂DMZ主機,就是把你設置的主機直接放到互聯網上面,這樣你的機器將會失去防火牆的保護,不是很推薦這麼做,但是如果你想挑戰自己的技術水平,那麼你可以大膽操作:圖4
填寫你的IP地址並啓用、保存就可以了。如果你本機還裝有天網之類的防火牆,你就會發現這樣被掃描、探測的機率明顯比用“虛擬服務器”的方式高出很多,也可以理解:方法1是利用NAT技術轉發端口到內網,實際上還在受到寬帶路由自帶防火牆的保護,而DMZ主機是直接暴露在網絡上的。
2、寬帶路由防火牆應用
防火牆的作用不用多說了吧?但是遊俠和大家說的是:處於網關位置的防火牆不僅僅是能像單機的天網那樣阻止黑客入侵併報警,還能做一些“意想不到”的事情!
在“安全設置-防火牆設置”下面,在“開啓防火牆”前面打上一個對號,可以按照圖5的設置:圖5
看清楚了,我們開啓了IP地址過濾,規則是不符合規則的數據包允許通過路由器,就是說:凡是出現在我們規則列表中的,是禁止通過的;域名過濾不多說;MAC地址過濾也是,禁止列表中的訪問互聯網,規則要清楚,自己不要搞錯。
2.1 IP地址過濾
現在開始行動,我們要禁止某網段的計算機上網,可以這麼設置:圖6
IP地址設定某一個IP段,如果只是一個就前後一樣了,端口、廣域網IP、廣域網端口不填寫,默認是“所有”,協議ALL,禁止通過,這樣就徹底要 192.168.1.50-192.168.1.80 這一段的計算機告別網絡了……是不是很壞?嘿嘿
下面再來說說如何禁止BT下載軟件,共享是好事情,但是如果一個人連累大家上網都不爽就不好了,俗話說的好:做人要厚道!爲了自己看電影不顧大家死活的行爲是一定要嚴厲打擊的!好,現在開始行動!
當然,封鎖BT的策略有好幾種,利用IP地址過濾、域名過濾、MAC地址過濾都可以實現這個效果。
1、單純採用IP地址過濾:只要ping下常見的BT網站,禁止訪問這個IP就可以了,但是現在網絡上遍地都是BT下載的地址,如果你有做“互聯網普查”的耐心,不妨試試這種方法,如果只是單純過濾一個BT發佈的站點,此法可用;
2、用IP地址過濾中的端口過濾,這就需要你知道軟件使用的端口號。不會?先裝一個BT軟件,然後在“開始-運行”輸入cmd,回車,然後輸入 netstat –an 就可以看到你現在機子開的端口,一般BT的是6881-6889,也有的是16881-16889,還有的是8881-8999,可以按照下面的設置:圖7
同時添加另外兩組端口。看到了?只要在局域網和廣域網封鎖這些端口就徹底告別BT給你帶來的煩惱了,當然我沒有看BT軟件是不是隻在本地打開這些端口還是在遠程廣域網也是打開這些,全部添上吧,如果你有興趣可以研究下BT軟件連接遠程主機是不是這幾個端口,算是“實習操作”吧!
2.2 域名過濾
接下來看看“域名過濾”:圖8
我添加了這兩個條目,有什麼區別?
1、域名我只填寫了 sina ,就是過濾所有域名包含 sina 的網站,比如 sina.xijing.org (這個域名我自己造的 呵呵)、tech.sina.com 啦,只要包含sina,不管是什麼網址,哪怕是 http://www.cctv.com/sina 都會被過濾掉,因爲包含了 sina 這個關鍵詞。
2、我寫的是 www.163.com 那麼防火牆只過濾這個關鍵詞,如果我訪問 news.163.com、sports.163.com 都會放行的,因爲關鍵詞是 www.163.com 而不是 163.com 如果關鍵詞是 163.com 那麼凡是包含它的地址都被過濾了,像下級域名是news、sport的都不可以訪問。
2.3 MAC地址過濾
下面看MAC地址過濾,不用說MAC地址是什麼了吧?想要查看這個地址只要在cmd下面輸入 ipconfig /all 就可以找到這一串序列號了,是6段2位的字母+數字,可以看圖9:
我加上這兩條規則,那麼擁有列表中MAC地址的網卡就被路由器阻止通信了,適合於屏蔽某人上網,如果知道誰在BT下載,找到他的MAC地址輸入也可以,要他鬱悶去吧!不過做事別太過分,像阻止BT之類的,還是建議用IP地址端口過濾的方法。
2.3 遠端管理設置
還有,擔心你的路由被別人控制?嘿嘿,修改個強壯的密碼,然後在管理端口設置下,像我的:圖10
我輸入 http://192.168.1.1:3389 這樣子的格式才能訪問我的寬帶路由,3389可是默認的Windows終端服務端口哦……還有我只允許192.168.1.9 這個地址訪問,那麼就只有我能訪問了,因爲我的IP是192.168.1.9 呵呵 如果遠端WEB管理IP地址是:0.0.0.0 那麼只允許局域網的地址訪問,如果是 255.255.255.255 這樣子就是所有內外網都可以訪問了,安全性下降!
最後你可以設置忽略來自WAN的Ping,所有ping你IP的將會收到 Request timed out. 的提示。
好了,羅羅嗦嗦說了這麼多,一定想動手實踐了吧,其實我這裏是用我手頭用的寬帶路由做的演示,其它各種寬帶路由也大同小異,基本都是這樣子,趕快行動吧!
關於上面的文字:
發表於:2005年9月《非安全(黑客手冊)》
版權:1、歸發表該文的雜誌社;2、歸本文作者。
如承蒙轉載請註明發表於該期雜誌,以及作者姓名,謝謝合作!
