查看: 2565|回复: 6
收起左侧

[讨论] Server 2003做无线路由器,防火墙问题

 关闭 [复制链接]
phpwave
发表于 2013-8-5 21:37:02 | 显示全部楼层 |阅读模式
本帖最后由 phpwave 于 2013-8-5 23:48 编辑

在下正好有一台闲置的主机,放着也是放着,就拿它配一个大功率无线网卡做软AP,连上网线,PPPoE拨号,然后ICS把连接共享,就是无线路由器了。
现在上面还跑着FTP、DNS、DHCP服务,软AP的建立和连接的共享我都是让Ralink的程序“ralink wireless utility”帮我搞定的。
DHCP和DNS服务器在软AP建立之前就已经跑着了,我也不知道连接到软AP后是不是要它们参与才能让连接的客户端上网。如果有谁知道还请告知,谢谢。
*
(已经测试过,删除DNS服务器角色后DHCP服务器会分配设定的DNS服务器给客户端,此问题解决,请看下面的问题。)
*
这台机器本来是我放在内网的服务器,弄得时候是想弄着玩玩,而且我也不懂什么安全,RDP什么的全开着,想着能用就行,现在放到公网就担心被别人趁机了。
能兼容2003的安全软件很少,我手里只有微点的序列号,就装了微点,
现在用微点自带的防火墙规则包4可以通过路由上网(1、2规则包一个全开放一个全阻止,没意义,不说了),但是3、5不行,3、4、5规则包都可以让我从内网连接到路由的RDP服务。
主要是想防止别人从公网Ping到我或者连接到我开的RDP和远程注册表服务,请问规则应该怎么设置?
P.s:
我的要求只是简单的包过滤,再加上懒得费力气设置,所以就用了微点,如果有什么其他软件可以更容易地达到我的要求,请告知,谢谢。
再另外,毕竟机器开着不会有人整天去看,所以HIPS什么的。。我觉得算了吧。

2013/8/5,23:45更新:
多谢4楼的启发,又编写了一套规则,虽然不能算是完美解决,但目前看来没问题。
下面是规则的概要:
允许内网双向互相访问,
允许所有主机 -> 本机 TCP/UDP 5000-65535端口的访问,
允许本机 -> 所有主机 TCP/UDP所有端口的访问,
不在规则内的情况默认拒绝连接。
现在看来没什么问题,那些要害服务的端口都在5000以下。

评分

参与人数 1经验 +4 收起 理由
woxihuan2011 + 4 感谢提供分享

查看全部评分

恋爱的夏娜
头像被屏蔽
发表于 2013-8-5 23:16:14 | 显示全部楼层
服务器系统就要做服务器系统该做的,不需要的服务或者程序统统精简掉,RDP什么的,远程注册表什么的,确认没需要就删掉相关服务器角色。Server 2003可没有08那么容易配置。
phpwave
 楼主| 发表于 2013-8-5 23:19:16 | 显示全部楼层
恋爱的夏娜 发表于 2013-8-5 23:16
服务器系统就要做服务器系统该做的,不需要的服务或者程序统统精简掉,RDP什么的,远程注册表什么的,确认没 ...

都需要,不然我怎么管理路由器(就是服务器)呢?FTP服务器也是必须的,不过这个IIS里好弄。DHCP服务器不用说肯定必须,DNS服务器已删。
woodelf
发表于 2013-8-5 23:22:47 | 显示全部楼层
本帖最后由 woodelf 于 2013-8-5 23:24 编辑

服务器系统防火墙我觉得以默认拒绝全部数据包,然后按照需求逐步开放数据包和端口的原则来配置较好。
我自己的一台FreeBSD,虽然跑的是自己家用的纯桌面,不过我的防火墙也是按照以上规则来配的,印象里仅开放了邮件、ftp、TCP、UDP常用的几个有限端口,连ssh都没开。
Windows下面的话应该更容易配置吧。

评分

参与人数 1经验 +4 收起 理由
woxihuan2011 + 4 感谢解答: )

查看全部评分

phpwave
 楼主| 发表于 2013-8-5 23:24:05 | 显示全部楼层
woodelf 发表于 2013-8-5 23:22
服务器系统防火墙我觉得以默认拒绝全部数据包,然后按照需求逐步开放数据包和端口的原则来配置较好。
我自 ...

嗯。。。理论上是这样,但我的服务器顺便还可能做下下载机什么的。。。我试试从0开始自己写规则。
恋爱的夏娜
头像被屏蔽
发表于 2013-8-6 01:00:16 | 显示全部楼层
phpwave 发表于 2013-8-5 23:19
都需要,不然我怎么管理路由器(就是服务器)呢?FTP服务器也是必须的,不过这个IIS里好弄。DHCP服务器不 ...

远程注册表这个还是关掉吧,实在不安全,而且听你说是闲置主机,配置一定不高,要不然我就推荐你上08R2了。

评分

参与人数 1经验 +3 收起 理由
woxihuan2011 + 3 感谢解答: )

查看全部评分

phpwave
 楼主| 发表于 2013-8-6 10:16:05 | 显示全部楼层
恋爱的夏娜 发表于 2013-8-6 01:00
远程注册表这个还是关掉吧,实在不安全,而且听你说是闲置主机,配置一定不高,要不然我就推荐你上08R2了 ...

好的,十分感谢!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 04:24 , Processed in 0.202702 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表