寬頻路由防火牆，你用好了沒有？

可能很多朋友都像我這樣幾個人合租一條adsl的線路上網，現在電信和網通都不允許adsl modem開啟路由功能了，所以就有了在adsl modem後面新增乙個寬頻路由實現多人上網的方案。圖1

我這裡用的寬頻路由是tp-link的r402 sohu寬頻路由器，介面還是很直觀的。圖2

1、利用寬頻路由發布**

1.1 用虛擬伺服器發布**

我的電腦ip位址是192.168.1.9，iis埠是80，就按照第一條的設定，第二條是給ftp的；第三條是給telnet的，你可以按照這個自己設定下面的。協議看你自己的需求，可以選用tcp或udp，也可以選擇all。然後夠選後面的「啟用」，儲存就ok了。

這樣，你可以在「執行狀態」選單下面找到你的ip位址，把它發給你的朋友，讓他們測試下你做的站點是不是很優秀！

1.2 用dmz主機發布**

其實發布你的站點還可以利用「**規則-dmz主機」實現，所謂dmz主機，就是把你設定的主機直接放到網際網路上面，這樣你的機器將會失去防火牆的保護，不是很推薦這麼做，但是如果你想挑戰自己的技術水平，那麼你可以大膽操作：圖4

填寫你的ip位址並啟用、儲存就可以了。如果你本機還裝有天網之類的防火牆，你就會發現這樣被掃瞄、探測的機率明顯比用「虛擬伺服器」的方式高出很多，也可以理解：方法1是利用nat技術**埠到內網，實際上還在受到寬頻路由自帶防火牆的保護，而dmz主機是直接暴露在網路上的。

2、寬頻路由防火牆應用

看清楚了，我們開啟了ip位址過濾，規則是不符合規則的資料報允許通過路由器，就是說：凡是出現在我們規則列表中的，是禁止通過的；網域名稱過濾不多說；mac位址過濾也是，禁止列表中的訪問網際網路，規則要清楚，自己不要搞錯。

2.1 ip位址過濾

現在開始行動，我們要禁止某網段的計算機上網，可以這麼設定：圖6

ip位址設定某乙個ip段，如果只是乙個就前後一樣了，埠、廣域網ip、廣域網埠不填寫，預設是「所有」，協議all，禁止通過，這樣就徹底要 192.168.1.50-192.168.1.80 這一段的計算機告別網路了……是不是很壞？嘿嘿

當然，封鎖bt的策略有好幾種，利用ip位址過濾、網域名稱過濾、mac位址過濾都可以實現這個效果。

2、用ip位址過濾中的埠過濾，這就需要你知道軟體使用的埠號。不會？先裝乙個bt軟體，然後在「開始-執行」輸入cmd，回車，然後輸入 netstat –an 就可以看到你現在機子開的埠，一般bt的是6881-6889，也有的是16881-16889，還有的是8881-8999，可以按照下面的設定：圖7

2.2 網域名稱過濾

接下來看看「網域名稱過濾」：圖8

我新增了這兩個條目，有什麼區別？

1、網域名稱我只填寫了 sina ，就是過濾所有網域名稱包含 sina 的**，比如 sina.xijing.org (這個網域名稱我自己造的呵呵)、tech.sina.com 啦，只要包含sina，不管是什麼**，哪怕是

2.3 mac位址過濾

2.3 遠端管理設定

還有，擔心你的路由被別人控制？嘿嘿，修改個強壯的密碼，然後在管理埠設定下，像我的：圖10

我輸入

這樣子的格式才能訪問我的寬頻路由，3389可是預設的windows終端服務埠哦……還有我只允許192.168.1.9 這個位址訪問，那麼就只有我能訪問了，因為我的ip是192.168.1.9 呵呵如果遠端web管理ip位址是：0.0.0.0 那麼只允許區域網的位址訪問，如果是 255.255.255.255 這樣子就是所有內外網都可以訪問了，安全性下降！

最後你可以設定忽略來自wan的ping，所有ping你ip的將會收到 request timed out. 的提示。

好了，羅羅嗦嗦說了這麼多，一定想動手實踐了吧，其實我這裡是用我手頭用的寬頻路由做的演示，其它各種寬頻路由也大同小異，基本都是這樣子，趕快行動吧！

關於上面的文字：

發表於：2023年9月《非安全(黑客手冊)》

寬頻路由防火牆，你用好了沒有？

用Linux防火牆構建軟路由

路由器的防火牆作用

開源軟路由和防火牆pfSense

寬頻路由防火牆，你用好了沒有？

用Linux防火牆構建軟路由

路由器的防火牆作用

開源軟路由和防火牆pfSense

相關推薦