单位外网的规模不大,几十台机器,也没有什么关键应用。说白了,只要别掉线、只要速度说的过去,就一切OK。路由器、交换机、电脑,结构相当的简单。在路由器上作些相关的设置,就基本上能满足需要了。
说到进行上网限制,其实我较初并不想这么做。那时候天还是蓝的,水也是绿的,庄稼是长在地里的,猪肉是可以放心吃的,耗子还是怕猫的,结婚是先谈恋爱的,理发店是只管理发的,药是可以治病的,医生是救死扶伤的,拍电影是不需要陪导演睡觉的,照相是要穿衣服的,欠钱是要还的,孩子的爸爸是明确的,学校是不图挣钱的,白痴是不能当教授的,卖狗肉是不能挂羊头的……
要是每个人都能老老实实的遵守规定,规规矩矩的上网,哪个网管愿意去做那么多限制,浪费多少脑细胞啊。较初我们的网络也是一切太平,自从有了BT日子就不太好过了,较近ARP又老是惹麻烦,非逼我作限制不可。
费话说了半天,赶紧说说具体的做法:
单位使用的是TPlink的一款企业宽带路由器,客户端自动获取地址,之前手工登记了全部客户端的MAC地址。
一、DHCP设置静态地址分配
目的是将每台机器的ip固定下来,考虑到将来可能会对客户机的ip参数进行修改,为避免几十台机器每台都要去做修改,所以并没采用手工指定ip的方式。采用DHCP+静态地址分配,既保留了DHCP的灵活性和可管理性,又使某特定MAC每次都可优先获得同一个IP。
二、设置IP地址过滤和MAC地址过滤
只允许DHCP静态地址分配里的那些IP访问网络,防止客户端私自指定其它IP上网,逃避追查。
只允许所有登记的MAC访问网络,防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC,逃避追查。
三、进行IP与MAC绑定
将路由器的ARP表设置成静态,防止ARP欺骗,客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来,这样还能防止客户端盗用别人的IP上网。
一台客户机的MAC地址在允许访问的列表内,他手工指定了一个原本给别人预留的IP,此IP也在允许访问的IP列表内。但是他还是上不了网,IP与MAC的对应关系不对,路由器会认为他在进行ARP欺骗,阻止他的数据,同时将信息记入日志。
四、在客户机上绑定路由器的IP和MAC信息
目的是防止客户机受到ARP欺骗,网关的正确MAC信息不会被篡改。方法是建立一个批处理文件:
arp -d
arp -s 网关IP 网关MAC
将此文件设置成开机自动运行。
完成以上工作,ARP病毒就不怕了,可是BT等p2p软件的影响依然存在。可气的是这台三千多地路由器居然不带针对IP的QoS,没法限制单个IP的带宽和连接数,郁闷死了。只能通过IP规则间接的实现控制p2p的目的了。
先说说指导思想,两种:1、全世界都是好人,只需要限制个别的坏人;2、全世界都是坏人,只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了,有些还是随机的,而且我们也不可能了解所有的p2p软件。只好采用第二种思想,所有的端口都是坏人,我只允许个别的好人访问,比如打开53、80、443等。
经过这样设置现在的情况是,常用的业务能够正常使用,不在端口列表里的软件不能访问网络。软件不能用同事就会来找我,这时候我检查这个软件是不是p2p的,会不会影响网络,如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了,不用再跑来跑去劝说他们别用这个别用那个,现在他们想用只能主动过来找我。我们干网管的也不能太累了,多动动脑子,形势就大不一样了,呵呵!
以上就是我对路由器的一些设置,其实这样的设置也是有问题的,还是有空子可钻。谁知道这篇文章会不会有同事看到,所以我还是不说了,其实也很简单的。对于IP规则设定,副作用也挺大的,大部分软件不能正常使用了,而且这样做也不能100%限制掉p2p。现在发现至少PPLive还是能用,就是慢了许多。在域名限制里禁掉pplive.com可能效果更明显一点,但是咱也不能做得太绝了,只要不会对网络正常运行带来太大的影响就行了,关键是维护绝大多数人的利益,不能让个别人抢了带宽。较后注意一点,在路由器里关掉upnp功能,对限制p2p有一定的作用。
