Chinaunix首页 | 论坛 | 博客
  • 博客访问: 29030459
  • 博文数量: 101
  • 博客积分: 4011
  • 博客等级: 上校
  • 技术积分: 1150
  • 用 户 组: 普通用户
  • 注册时间: 2007-10-18 10:37
个人简介

落魄青年,挨踢民工,已经转行

文章分类

全部博文(101)

文章存档

2008年(47)

2007年(54)

分类: 系统运维

2007-10-27 20:50:28

我们知道在tp-link宽带路由器中,可以方便设一段连续ip地址的做访问控制,M0N0Wall防火墙规则中有"广域网","局域网","单个主机","网络",似乎没法设置连续ip,刚才我看了mon0Wall FAQ帮助中有这样一条.

16.26. How can I block/permit a range of IP addresses in a firewall rule?
If you can summarize the IP addresses with a CIDR mask, you can enter a rule to apply to those hosts. For example, 10.0.0.8-10.0.0.15 can be summarized with 10.0.0.8/29.

 
原来玄机在"网络"中,经过我的实际测试,规则起到了真正作用.看我下面的例子截图就明白怎么设的了.
 
再看我的lan设置:
 
 
   这种方式类似CISCO做ACL,用到了通配符掩码的概念,但不必像CISCO中那样强调子网掩码通配符掩码的区别,都用CIDR格式表示就行了.因为要符合子网划分的规则,所以不可以像tp-link那样随意指定一个ip地址范围,比如上面的例子中,局域网ip地址段223.223.223.224/27表示的是223.223.223.224-223.223.223.254这个范围,可是如果你要用单条规则使用通配符匹配223.223.223.222-223.223.223.254却不行.因此要预先对子网ip的分配做规划,把有相同访问策略的做在同一个"子网段"(这里的"子网段"相对于LAN接口的设置就是"孙网段"了).因此有必要懂一些网络概念如ABC类地址,子网划分,子网掩码,通配符掩码,网络地址,主机地址,广播地址这些概念,否则比如上面例子中的#.#.182.168/29是个合法的子网网络号,#.#.182.167/29则不是,不明白就要看看CCNA指南.
 
   跟tp-link相比,优点转发ip包时做实施规则的速度快,直接异或移位就可以了,不必做加减.缺点是没有tp-link那样傻瓜化,弄懂那些二进制的网络概念对一般人简直是折磨.
 
  
 
阅读(5185) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~