Network 版 (精华区)

发信人: reeyoung (Ree Young), 信区: Network
标  题: Re: WinRoute下的FreeIP实现
发信站: 哈工大紫丁香 (2003年03月07日22:14:24 星期五), 站内信件


主机掩码和子网掩码是相对的，对于一个网络，它的主机掩码与子网掩码进行“或”
运算，结果就是255.255.255.255。一般表示网段都使用192.168.0.0/255.255.255.0
或者192.168.0.0/24的格式，印象中好像Cisco的ACL使用主机掩码定义IP限制规则。

限制传入和传出达到同样目的，好像并不正确。例如，代理服务器双网卡，公共网
网卡为A，局域网网卡B。 那么，按照我的原文，是应该在网卡B的传入方向上来设
置限制规则的，这样才能够限制网内用户对限制IP的访问。如果我们把同样的规则
设置到网卡B的传出上，那就是把代理服务器发给网内客户机的包过滤掉了， 实际
上客户机已经向限制IP发送了数据包，只是收不到对方返回来的信息。如果把限制
规则设置在网卡A上面，就要考虑NAT与包过滤那个发生在前，那个发生在后，有可
能根本无法实现限制。

【 在 libq (听雨) 的大作中提到: 】
: 有道理，那么限制“传入”和“传出”都能达到同样的目的了
: 我在http://www.nic.edu.cn/RS/ipstat/internalip/看到free_IP中还有一个主机掩码，
: 不知道是什么意思
:
: 【 在 reeyoung (Ree Young) 的大作中提到: 】
: : 呵呵，这个是从我给别人写的一个方案中摘取下来的一段。
: : 原文中我的想法是，不应该限制代理服务器对外的访问权限，因为一个代理服务器
: : 是可以装多块网卡，连接多个局域网，而对于每个局域网设置不同的权限(例如A段
: : 只允许局域网，B段允许FreeIP，C段可以访问任何地址)。 所以，把规则捆绑到了
: : 内部网卡上，这样才可以多块网卡区别对待。
: : 这里的传入(Incoming)是对代理服务器来说的，就是代理服务器接收到的数据包。 
: : 把限制规则设置在传入方向上，是为了避免考虑NAT转换这个复杂问题。
: 
: 
: --
: 夜阑卧听风吹雨 
:   铁马冰河入梦来
: 
: ※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.71.162]


--
┏━┓
┃忠┃锁完门，别忘了检查口袋，看钥匙是不是带在身上；
┃告┃上站后，先去syssecurity,看自己的ID被删除没有。
┗━┛

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 218.10.128.164]
※ 修改:·reeyoung 於 03月08日11:56:29 修改本文·[FROM: 218.10.128.164]