ROS防火墙策略设置实例

时间:2021-10-28 05:39:16

背景:最近公司要求对不同的内网网段实现不同的访问外网的权限。10-20网段只能收发邮件不能上网,21-30网段不允许访问外网,31-40网段任意访问外网。

环境描述:公司目前用的是个傻瓜式的路由器,上面的需求无法实现。咨询了群友后,得知ISA和ROUTEROS可以实现。考虑到实际情况,决定使用ROS架设软路由。

实战:

1.下载ROS安装包并进行安装。

群友说ROS2.9.6不错,很稳定。于是down了下来,在vmware里面安装了一次,感觉挺简单。接着刻录好,找了个PC进行安装。问题来了:安装时找不到硬盘。纠结一下,原来2.9.6尽然不支持sata硬盘。于是从又down了个3.2的下来,破解花了不小力气。安装好了后,开始进行简单配置后,所有办公电脑访问外网没有问题。

下面开始使用防火墙来实现具体的需求,真正纠结的时刻终于来到了。

从网上找了大量的防火墙设置的资料后,开始动手。由于10-20网段只允许收发邮件,那就是允许这个网段的110和25端口的通讯。具体设置步骤如下:

首先允许使用foxmail收发邮件:

第一条策略:

1.chian中选择forward

2.源地址列表选择10-20网段

3.源端口分别为110

4.action为accept

第二条策略:

1.chian中选择forward

2.源地址列表选择10-20网段

3.源端口分别为25

4.action为accept

第三条策略:

1.chian中选择forward

2.目的地址为10-20网段

3.action为accept

其次,禁止访问外网:

1.chian中选择forward

2.源地址列表选择10-20网段

3.action为drop

设置了3条规则后,开始测试,foxmail不能正常收发邮件,外网无法访问。接下来就是令人蛋疼的调试过程,中间惨不忍睹的内容就不说了。下面说下正确的策略设置,主要是第一和第二条策略进行了调整:

第一条策略:

1.chian中选择forward

2.源地址列表选择10-20网段

3.目标端口分别为110

4.action为accept

第二条策略:

1.chian中选择forward

2.源地址列表选择10-20网段

3.目标端口分别为25

4.action为accept

ok,需求实现了。当然了这个正确的策略是试出来的,但是为什么源端口是110和25就不行了呢?

BAIDU了好久,终于得出了答案:计算机在发送邮件的时候,源端口并不是25,而是随机选择一个大于1024的端口,目标端口的确是smtp服务器的25端口,这就是为什么刚开始失败的原因

第二个需求使用队列功能,将21-30网段的上下行设为1K即可。

ROS目前已经稳定运行了1个月,基本上是没问题了。

总结:做事情不能想当然,一定要有根有据!

如果需要ROS3.3的安装包,可以给我回复,并留下邮箱。

 

本文出自 “怒放的生命” 博客,请务必保留此出处http://shane.blog.51cto.com/824878/473281