Windows 2000 RRAS输入/输出筛选器设置 - - 系统维护 - Win2000/NT

Win2000/NT

数据库
 邮件服务
 Linux
Win9x/ME
Win2000/NT
WinXP/Server

本类阅读TOP10

·Windows 2000不能启动时
·Windows 2003 激活和优化大全
·Windows 2000 系统服务设置(建议配置)
·Windows2000系统如何找回丢失的管理员密码
·Windows 2000 设置与操作技巧之性能提高篇
·解读多重启动引导文件——BOOT.INI
·Windows 2000自带传真软件使用攻略
·Win 2000如何安装配置防火墙
·Windows 2000 的IP路由
·解决 Windows 2000 中的常见 Active Directory 安装问题

站内搜索

Windows 2000 RRAS输入/输出筛选器设置

　前面我曾专门撰文《利用Windows 2000 Server 的RRAS实现软路由》，介绍如何将多个网段连接起来。本文将介绍如何利用RRAS中的输入/输出筛选器，设置具体的基于IP地址、基于协议、基于应用（端口）的访问控制。
　　比如有网友问：win2000 软路由的筛选器如何设置？如何区分输入和输出？假设如下情况，能否实现网段A能访问网段B，而网段Ｂ不能访问网段A，如何实现？

{网络A}==网卡a：RRAS：网卡b=={网络B}

一、预备知识：
1、实际中常需要针对具体应用作限制，那么网管就需要了解：常用服务、应用所用的协议及端口，可查阅winnt\system32\drivers\etc\protocol和文件services。如WEB服务器所用的http使用tcp:80口；ftp要使用tcp:20口来传数据，tcp:21口来控制；ping命令依赖协议号为3的ICMP协议。
2、TCP会话连接建立过程，以客户机访问WEB服务器（192.168.0.1）为例说明：
　　（1）客户机-->服务器，发出会话请求：192.168.0.1:80口在吗？
　　（2）客户机<--服务器，服务器会应答：在呀！我们怎么交谈？
　　（3）客户机-->服务器，发出它的建议：我使用1300口和你的80****谈，怎么样？
　　这样服务器使用众所周知的http的默认80口，与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的TCP连接过程中的三次握手。
　　后面为了描述方便，简述为：客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样，如客户机以任意端口去连FTP服务器的默认tcp:20和21口；以UNC路径（形如：\\192.168.0.1或\\server或\\server.mcse.com）或网上邻居去访问网络共享时，是客户机以任意端口去连服务器的默认tcp:139或tcp:445口，注意这里是“或”，已在2000计算机环境中实验证明。
3、任何宏观上的访问过程的本质都是两向的，即源向目标发出请求，目标向源返回答。两个方向都通，用户才能看到宏观上的访问（或者说通了）。如下图，B访问A将依次经过1—4这4步：

（2）　　　　（1）
<--网卡a－RRAS<--网卡b—
—网卡a -->RRAS—网卡b -->
（3）　　　　（4）

4、输入还是输出筛选器，是指经过具体网卡，是进入还是离开RRAS这台计算机的而言的。以B网段客户机B1以任意端口去连A网段WEB-A服务器的默认80口为例，筛选器应做如下配置。说明：端口不配或配置为0表示任意端口。

　　（1）网卡b上，输入筛选器。源：B，端口：0 ；目标A端口：80；
　　（2）网卡a上，输出筛选器。源：B，端口：0 ；目标A端口：80；
　　（3）网卡a上，输入筛选器。源：A，端口：80；目标B端口：0；
　　（4）网卡b上，输出筛选器。源：A，端口：80；目标B端口：0；

二、分析：能否实现A到B通，B到A不通。
1、若是针对所有应用（对应任意端口）实现，答案是否定的。
2、若是针对单项应用，如前面提到的客户机访问WEB服务器，可以实现。即：
A网段用户能访问WEB-B服务器，B网段用户不能访问WEB-A服务器。

原理：配置好RRAS后，Ａ到Ｂ，B到A，就都是通的。关键要把Ｂ到Ａ的WEB-A设成不通。将前述4步，任意一步阻断，就可实现。也就是说有4种方法，理论上讲在（1）上设效果最优，但实际上差别不大。
3、既然单项应用可以实现，我们可以多做几条筛选器，把常用的应用、服务都罗列上，近似可以实现1中的要求。

三、操作方法如下：
　　开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规：输入/输出筛选器。
说明：
1、注意对话框上面的选项是：接收（还是丢弃）所有除符合下列的条件以外的数据包。这两名话翻译的不好，可按如下理解：接收所有，除了下列数据包；丢弃所有，除了下列数据包。
2、在源网络和目标网络设置中什么都不选：相当于“任何”。另外：
指定某一个IP，形如IP地址：192.168.1.100，子网掩码：255.255.255.255。
指定一个网段，形如IP地址：192.168.1.0，子网掩码：255.255.255.0。
3、在端口上不配，或配置为0：相当于“任何”。
4、TCP（已建立的），指先前已建立好的TCP连接所用的数据包。这一选项平常一般用不到，除非一个连接已建立且不允许断开，而网管又要马上做筛选器设置。
5、注意区分UDP与TCP端口，即使它们使用相同的端口数值，也不能理解为同一个。
6、DHCP客户与DHCP服务器之间所有的通信都利用udp:67和68口进行。
7、ICMP协议是ping命令的应答所依赖的协议，它的协议号为3。如果不想应别ping你的计算机，可以在RRAS筛选器中禁用它。直接指明ICMP，或协议选其它，协议号上输入：3，这两种方法都可以。注意：ICMP代码和类型是不选或255表示：任何。
8、在网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—TCP/IP筛选，相当于一个简单的输出筛选器。实验中发现基于它的第三项IP协议号来阻止ping无效，怎么设都能ping通。但TCP/IP筛选在2000P/XP上非常有用，因为在2000P/XP上是不能安装RRAS的。