我们知道在tp-link宽带路由器中,可以方便设一段连续ip地址的做访问控制,M0N0Wall防火墙规则中有"广域网","局域网","单个主机","网络",似乎没法设置连续ip,刚才我看了mon0Wall FAQ帮助中有这样一条.
16.26. How can I block/permit a range of IP addresses in a firewall rule?
If you can summarize the IP addresses with a CIDR mask, you can enter a rule to apply to those hosts. For example, 10.0.0.8-10.0.0.15 can be summarized with 10.0.0.8/29.
原来玄机在"网络"中,经过我的实际测试,规则起到了真正作用.看我下面的例子截图就明白怎么设的了.
再看我的lan设置:
这种方式类似CISCO做ACL,用到了通配符掩码的概念,但不必像CISCO中那样强调子网掩码与通配符掩码的区别,都用CIDR格式表示就行了.因为要符合子网划分的规则,所以不可以像tp-link那样随意指定一个ip地址范围,比如上面的例子中,局域网ip地址段223.223.223.224/27表示的是223.223.223.224-223.223.223.254这个范围,可是如果你要用单条规则使用通配符匹配223.223.223.222-223.223.223.254却不行.因此要预先对子网ip的分配做规划,把有相同访问策略的做在同一个"子网段"(这里的"子网段"相对于LAN接口的设置就是"孙网段"了).因此有必要懂一些网络概念如ABC类地址,子网划分,子网掩码,通配符掩码,网络地址,主机地址,广播地址这些概念,否则比如上面例子中的#.#.182.168/29是个合法的子网网络号,#.#.182.167/29则不是,不明白就要看看CCNA指南.
跟tp-link相比,优点转发ip包时做实施规则的速度快,直接异或移位就可以了,不必做加减.缺点是没有tp-link那样傻瓜化,弄懂那些二进制的网络概念对一般人简直是折磨.
阅读(5185) | 评论(0) | 转发(0) |