转：宽带路由防火墙，你用好了没有？

可能很多朋友都像我这样几个人合租一条ADSL的线路上网，现在电信和网通都不允许ADSL Modem打开路由功能了，所以就有了在ADSL Modem后面添加一个宽带路由实现多人上网的方案。图1

    但是，这样子有些朋友要在内网发布自己的WEB站点就不是很方便了，很多朋友都在用花生壳之类的动态解析软件，但是那个是针对动态IP的，而到了内网就……有时候自己做了页面，向朋友show一下都不方便；或者有人在用BT疯狂下载电影，把大家拖累的百度这样的简洁页面都打不开。其实，宽带路由可以帮我们实现一些“整改”措施的。OK,Let’s go! 让我们一起榨干宽带路由的最后一滴油水！

    我这里用的宽带路由是TP-Link的R402 Sohu宽带路由器，界面还是很直观的。图2

    1、利用宽带路由发布网站

    1.1 用虚拟服务器发布网站

我们要发布自己的网站很简单，首先在本机做好IIS或者Apache之类的WEB服务器，然后打开你的宽带路由配置界面，点“转发规则-虚拟服务器”看到如下界面：图3

    我的电脑IP地址是192.168.1.9，IIS端口是80，就按照第一条的设置，第二条是给FTP的；第三条是给Telnet的，你可以按照这个自己设置下面的。协议看你自己的需求，可以选用TCP或UDP，也可以选择All。然后够选后面的“启用”，保存就OK了。

    这样，你可以在“运行状态”菜单下面找到你的IP地址，把它发给你的朋友，让他们测试下你做的站点是不是很优秀！

    1.2 用DMZ主机发布网站

    其实发布你的站点还可以利用“转发规则-DMZ主机”实现，所谓DMZ主机，就是把你设置的主机直接放到互联网上面，这样你的机器将会失去防火墙的保护，不是很推荐这么做，但是如果你想挑战自己的技术水平，那么你可以大胆操作：图4

    填写你的IP地址并启用、保存就可以了。如果你本机还装有天网之类的防火墙，你就会发现这样被扫描、探测的几率明显比用“虚拟服务器”的方式高出很多，也可以理解：方法1是利用NAT技术转发端口到内网，实际上还在受到宽带路由自带防火墙的保护，而DMZ主机是直接暴露在网络上的。

    2、宽带路由防火墙应用

    防火墙的作用不用多说了吧？但是游侠和大家说的是：处于网关位置的防火墙不仅仅是能像单机的天网那样阻止黑客入侵并报警，还能做一些“意想不到”的事情！

    在“安全设置-防火墙设置”下面，在“开启防火墙”前面打上一个对号，可以按照图5的设置：图5

    
    看清楚了，我们开启了IP地址过滤，规则是不符合规则的数据包允许通过路由器，就是说：凡是出现在我们规则列表中的，是禁止通过的；域名过滤不多说；MAC地址过滤也是，禁止列表中的访问互联网，规则要清楚，自己不要搞错。

    2.1 IP地址过滤

    现在开始行动，我们要禁止某网段的计算机上网，可以这么设置：图6

    IP地址设定某一个IP段，如果只是一个就前后一样了，端口、广域网IP、广域网端口不填写，默认是“所有”，协议ALL，禁止通过，这样就彻底要 192.168.1.50-192.168.1.80 这一段的计算机告别网络了……是不是很坏？嘿嘿

    下面再来说说如何禁止BT下载软件，共享是好事情，但是如果一个人连累大家上网都不爽就不好了，俗话说的好：做人要厚道！为了自己看电影不顾大家死活的行为是一定要严厉打击的！好，现在开始行动！

    当然，封锁BT的策略有好几种，利用IP地址过滤、域名过滤、MAC地址过滤都可以实现这个效果。

1、单纯采用IP地址过滤：只要ping下常见的BT网站，禁止访问这个IP就可以了，但是现在网络上遍地都是BT下载的地址，如果你有做“互联网普查”的耐心，不妨试试这种方法，如果只是单纯过滤一个BT发布的站点，此法可用；

2、用IP地址过滤中的端口过滤，这就需要你知道软件使用的端口号。不会？先装一个BT软件，然后在“开始-运行”输入cmd，回车，然后输入 netstat –an 就可以看到你现在机子开的端口，一般BT的是6881-6889，也有的是16881-16889，还有的是8881-8999，可以按照下面的设置：图7

    同时添加另外两组端口。看到了？只要在局域网和广域网封锁这些端口就彻底告别BT给你带来的烦恼了，当然我没有看BT软件是不是只在本地打开这些端口还是在远程广域网也是打开这些，全部添上吧，如果你有兴趣可以研究下BT软件连接远程主机是不是这几个端口，算是“实习操作”吧！

    2.2 域名过滤

    接下来看看“域名过滤”：图8

    我添加了这两个条目，有什么区别？

1、域名我只填写了 sina ，就是过滤所有域名包含 sina 的网站，比如 sina.xijing.org (这个域名我自己造的 呵呵)、tech.sina.com 啦，只要包含sina，不管是什么网址，哪怕是 http://www.cctv.com/sina 都会被过滤掉，因为包含了 sina 这个关键词。

2、我写的是 www.163.com 那么防火墙只过滤这个关键词，如果我访问 news.163.com、sports.163.com 都会放行的，因为关键词是 www.163.com 而不是 163.com 如果关键词是 163.com 那么凡是包含它的地址都被过滤了，像下级域名是news、sport的都不可以访问。

    2.3 MAC地址过滤

下面看MAC地址过滤，不用说MAC地址是什么了吧？想要查看这个地址只要在cmd下面输入 ipconfig /all 就可以找到这一串序列号了，是6段2位的字母＋数字，可以看图9：

我加上这两条规则，那么拥有列表中MAC地址的网卡就被路由器阻止通信了，适合于屏蔽某人上网，如果知道谁在BT下载，找到他的MAC地址输入也可以，要他郁闷去吧！不过做事别太过分，像阻止BT之类的，还是建议用IP地址端口过滤的方法。

2.3 远端管理设置

还有，担心你的路由被别人控制？嘿嘿，修改个强壮的密码，然后在管理端口设置下，像我的：图10

我输入 http://192.168.1.1:3389 这样子的格式才能访问我的宽带路由，3389可是默认的Windows终端服务端口哦……还有我只允许192.168.1.9 这个地址访问，那么就只有我能访问了，因为我的IP是192.168.1.9 呵呵 如果远端WEB管理IP地址是：0.0.0.0 那么只允许局域网的地址访问，如果是 255.255.255.255 这样子就是所有内外网都可以访问了，安全性下降！

最后你可以设置忽略来自WAN的Ping，所有ping你IP的将会收到 Request timed out. 的提示。

好了，罗罗嗦嗦说了这么多，一定想动手实践了吧，其实我这里是用我手头用的宽带路由做的演示，其它各种宽带路由也大同小异，基本都是这样子，赶快行动吧！

关于上面的文字：
发表于：2005年9月《非安全(黑客手册)》
版权：1、归发表该文的杂志社；2、归本文作者。
如承蒙转载请注明发表于该期杂志，以及作者姓名，谢谢合作！
作者：张百川 (网名：网路游侠) www.youxia.org