基于命令行下配置路由和遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)的NAT/基本防火墻入出站篩選

魏永輝

燕山大學(xué)里仁學(xué)院，河北　秦皇島　066004

?

基于命令行下配置路由和遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)的NAT/基本防火墻入出站篩選

魏永輝

燕山大學(xué)里仁學(xué)院，河北秦皇島066004

摘要：Windows Server 2003是微軟基于Windows XP/NT5.1開(kāi)發(fā)的服務(wù)器操作系統(tǒng)，現(xiàn)在還有很多在WINDOWS 2003 SERVER服務(wù)器下做軟路由和遠(yuǎn)程訪(fǎng)問(wèn)來(lái)完成共享上網(wǎng)，那么如何通過(guò)設(shè)置其N(xiāo)AT/基本防火墻中的入站篩選器和出站篩選器屏蔽一些已經(jīng)確認(rèn)的惡意網(wǎng)站。

關(guān)鍵詞：NAT；篩選器

一、當(dāng)前問(wèn)題

目前最主要的是在需要時(shí)(有時(shí)阻止、有時(shí)允許)阻止固定的內(nèi)網(wǎng)機(jī)器上網(wǎng)，如果每次都通過(guò)在圖形界面底下添加、刪除同樣的一條規(guī)則顯得特別的麻煩。本文通過(guò)命令行方式和批處理BAT文件方式快速便捷的添加出入站的篩選。

在命令行底下通過(guò)腳本來(lái)調(diào)整篩選器，這樣就可以做成批處理執(zhí)行，避免每次打開(kāi)“路由和遠(yuǎn)程訪(fǎng)問(wèn)”的控制臺(tái)再手動(dòng)輸入信息，這個(gè)可以用命令行下的netsh命令來(lái)配置：netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 222.222.222.222 255.255.255.255 any，通過(guò)這個(gè)命令我可以在名為內(nèi)網(wǎng)LAN連接的入站篩選器里增加一條“接收所有除符合下列條件以外的數(shù)據(jù)包”的篩選規(guī)則。

二、設(shè)置條件

Windows內(nèi)置的netsh的命令，可以使用set來(lái)設(shè)置是drop(接收所有除符合下列條件以外的數(shù)據(jù)包)還是forward(丟棄所有的包，滿(mǎn)足下面條件的除外)，加上用add來(lái)添加篩選條件。

如果在應(yīng)用當(dāng)中規(guī)則的源地址可以設(shè)置成允許上網(wǎng)的那臺(tái)機(jī)器，但目的地址要不設(shè)置或者設(shè)成全部就不知道如何設(shè)置了，經(jīng)過(guò)實(shí)驗(yàn)發(fā)現(xiàn)其實(shí)要不設(shè)置目的地址可以將目的地址的IP和掩碼都設(shè)置成“0.0.0.0 0.0.0.0”就可以了，執(zhí)行命令后你會(huì)在內(nèi)網(wǎng)連接的入站篩選里面發(fā)現(xiàn)一條：“丟棄所有的包，滿(mǎn)足下面條件的除外”、源地址和掩碼是192.168.2.200 255.255.255.255、目的地址是空的規(guī)則，這樣就可以在DOS下完全控制篩選了。

三、具體命令

下面是的兩個(gè)可以做成批處理文件：

如何添加一條只允許192.168.2.200訪(fǎng)問(wèn)外網(wǎng)的篩選規(guī)則

@echo of

netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any

netsh routing ip set filter nei input drop

如何刪除這條規(guī)則，允許所有人上網(wǎng)

@echo of

netsh routing ip delete filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any

netsh routing ip set filter nei input forward

四、注意問(wèn)題

在做刪除規(guī)則的時(shí)候注意，運(yùn)行完刪除規(guī)則以后，要將這條刪除規(guī)則設(shè)置成forward，這樣就可以正常的訪(fǎng)問(wèn)外網(wǎng)了。

軟路由通常使用普通計(jì)算機(jī)充當(dāng)，計(jì)算機(jī)可以是從很舊的PC機(jī)到高級(jí)的PC/串口服務(wù)器，配置成本根據(jù)用戶(hù)需要進(jìn)行控制。

如配置一臺(tái)普通linux路由器，采用性能很差的二手電腦即可實(shí)現(xiàn)，要實(shí)現(xiàn)大的帶機(jī)量及更多的功能，也可根據(jù)用戶(hù)需求來(lái)添置更好的硬件設(shè)備。用軟路由的好處之二就是所購(gòu)買(mǎi)的機(jī)器不會(huì)浪費(fèi)，因?yàn)檐浡酚杀旧砭褪且慌_(tái)計(jì)算機(jī)，就算今后不需要用它來(lái)配置軟路由，也可以作其他用途。而硬件路由器因?yàn)槭且慌_(tái)專(zhuān)用的設(shè)備，可以說(shuō)是專(zhuān)費(fèi)專(zhuān)用。不同的軟件路由器可以提供不一樣的功能，像PPP/PPPOE拔號(hào)上網(wǎng)及管理軟件、NAT網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)功能、IPFW互聯(lián)協(xié)議防火墻管理程序、DHCP動(dòng)態(tài)IP配置協(xié)議程序及管理軟件、DNS、VPN虛擬專(zhuān)用網(wǎng)絡(luò)、HTTP及FTP服務(wù)、web認(rèn)證、流量限制、限制寬帶非法用戶(hù)上網(wǎng)等常用的功能在軟路由器上都可以實(shí)現(xiàn)，非常的靈活方便。而對(duì)于硬路由器來(lái)說(shuō)，每一臺(tái)設(shè)備其功能都是特定的，雖然不同的產(chǎn)品所提供的功能不一樣，但是只要選定了其中一臺(tái)，所選擇的路由器功能也就基本上固定了，不能隨意增加或者刪除，只能選擇開(kāi)放或者是限制某一部分的功能使用，當(dāng)然現(xiàn)在的硬件路由器廠(chǎng)商一般都是把功能完全集中在一個(gè)路由器產(chǎn)品中，客戶(hù)可以根據(jù)自己的需求來(lái)進(jìn)行使用。

軟路由在使用的時(shí)候也要注意PC的穩(wěn)定性，眾所周知，PC架構(gòu)是基于個(gè)人用途而設(shè)計(jì)的，其從各方面來(lái)說(shuō)，都不適合擔(dān)任惡劣環(huán)境下的服務(wù)器的角色，一臺(tái)PC，各種配件是由不同的廠(chǎng)商生產(chǎn)，雖然是按照一定的規(guī)范來(lái)生產(chǎn)，但其兼容性卻不見(jiàn)得能得到保障，特別我們這種是基于Windows Server 2003內(nèi)部自帶的軟路由，本身也很脆弱 一定要做好預(yù)案。

軟件路由器只能工作于以太網(wǎng)絡(luò)，實(shí)現(xiàn)局域網(wǎng)之間的互聯(lián)。硬件路由器擁有豐富的接口類(lèi)型，因此適用于各種類(lèi)型的網(wǎng)絡(luò)，既可應(yīng)用于局域網(wǎng)的互聯(lián)，也可用于廣域網(wǎng)和Internet互聯(lián)。另外，兩者的效率也不同，軟路由可應(yīng)用于小型的通訊效率不高的網(wǎng)絡(luò)，硬件路由可應(yīng)用于大中小型、通訊效率較高的網(wǎng)絡(luò)。所以筆者也建議讀者能根據(jù)自身需求來(lái)選擇使用軟路由，還是硬路由。

五、結(jié)束語(yǔ)

此段程序經(jīng)過(guò)筆者調(diào)試，能夠快捷簡(jiǎn)單實(shí)現(xiàn)進(jìn)站出站篩選器的操作，提高了工作效率，達(dá)到了良好的運(yùn)行效果。本文肯定有不足之處，歡迎廣大讀者的批評(píng)指正。

[參考文獻(xiàn)]

[1]李穎.服務(wù)器安全配置工具的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011(9).

[2]呂順營(yíng).NCRE上機(jī)考試服務(wù)器設(shè)置經(jīng)驗(yàn)談[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流)，2007，3(18).

中圖分類(lèi)號(hào)：TP393.08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1006-0049-(2016)09-0164-01