ROS的Bridge实现二层端口隔离

ROS的Bridge实现二层端口隔离
ROS的Bridge实现二层端口隔离

ROS的Bridge实现二层端口隔离

RouterOS具有Bridge的桥接功能,在配置多网口的情况下可以实现二层数据的转发,即可以实现交换机功能,加上RouterOS支持birdge filter的过滤,同样也支持对二层数据的管理,通过配置Bridge的防火墙规则实现多网口的端口隔离。

在这里我们通过RB150的操作为实例,配置二层端口隔离。

首先我们在Bridge中添加一个网桥bridge1:

在RouterOS同样支持STP(Spring Tree Protocol)生成树协议,防止二层的回环出现,同样也是支持二层的冗余功能,在这里我们将STP打上勾:

在添加完桥接功能后,需要将对应的网卡添加入bridge1中,进入Port中设置,我们将五个网卡一个一个添加到bridge1

添加完每个端口后,现在RB150的5个以太网口,就完成了桥接的设置,这样5个口就实现了二层的交换功能。

现在我们需要让ether1为上联口,即ether1能与ether2、ether3、ether4和ether5进行通信,但ether2、ether3、ether4和ether5之间是被隔离。

我们进入filter中设置防火墙过滤规则,我们首先配置ether2与ether3的数据隔离我们在interface选项中设置In-interface和Out-interface

(In-interface为数据进入的网口,Out-interface为数据出去的网口):

设置好对应的端口后,丢弃他们之间的数据:

因为数据是双向的,上面这条规则是隔离的从ether2到ether3的数据,但无法封闭ether3 到ether2的数据,所以我们还要做一条反方向的规则,即两个口之间需要做两条规则:

整个端口控制组合如下:

Ether2 – Ether3

Ether3 - Ether2

Ether2 – Ether4

Ether4 – Ether2

Ether2 – Ether5

Ether5 – Ether2

Ether3 – Ether4

Ether4 – Ether3

Ether3 – Ether5

Ether5 – Ether3

Ether4 – Ether5

Ether5 – Ether4

这样的配置就实现了让ether1为上联口,即ether1能与ether2、ether3、ether4和ether5进行通信,但ether2、ether3、ether4和ether5之间是被隔离。

通过Bridge filter的配置,可以实现对各种二层数据链路层的相应数据和协议做控制。

在启用bridge后,Queue和ip firewall filter的规则仍然能启作用,能实现三层数据的过滤和流控,这样RouterOS在设置为Bridge后可以做到三层路由器的功能,只要加以设置和组合。

注:在3.0版本后RouterOS在bridge中增加一个设置选项use ip firewall,该规则是询问数据控制是否经过ip firewall,如果不打勾数据将不再进入ip firewall处理,这样可以加快数据的转发,减少处理过程。增加了系统的灵活性。

Ros安装-配置初学者教程

高清视频语音教程大放送,请访问:https://www.360docs.net/doc/4015032406.html, 一:安装 1、光盘版的 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器

重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了): 选择3: Crack RouteOS Floppy Disk,开始破解。

破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了

ROS 2.96 端口映射、IP显示及回流设置

ROS 2.96 端口映射、IP显示及回流设置 1、什么是端口映射 这里说的端口映射是路由器上的端口映射。一般情况下,网络中路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口或是固定的外网IP地址),而访问不了局域内部服务器或工作站。要想让外面用户访问到局域网的电脑,那么就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,能够转发到局域内部的机器上,例如游戏服务器或WEB 服务器。这就是端口映射。 例如,在局域网中建建立一个web服务器,IP地址为:192.168.1.3,端口为80,此时在局域内部,只要在浏览器输入http://192.168.1.3,就能打你web网站的内容,但如果要在因特网上访问此web服务器,打入http://192.168.1.3这个局域网内网IP,肯定是访问不了的。当需要在外网访问这台服务器时,就要就192.168.1.3这台机器的80端口通过路由器映射到外网。除了web服务外,其它的服务例如FTP、远程桌面等服务都可以将不同的端口映射出去,以便能在外网通过路由器来访问内网机器。一般的路由器都带有端口映射功能,以下对目前使较多的ROS软路由的端口映射作一说明,并提出解决外网IP显示及回流设置。 2、ROS 2.96 的端口映射的设置 进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面。点击左上角红色的“+”号,添加一条dstnat 规则,其中dst.address 填写你要映射的外网IP,本例为218.87.96.xxx(此处请填入您的外网IP),然后选择protocol协议为6,即TCP协议,设置Dst. port(目标端口)为80。设置完成后如图1所示。

查询端口的命令

Top、vmstat、w、uptime、 ps 、 free、iostat、sar、mpstat、pmap、 netstat and ss、 iptraf、tcpdump、strace、 /Proc file system、Nagios、Cacti、 KDE System Guard、 Gnome System Monitor https://www.360docs.net/doc/4015032406.html,stat -a列出所有正在运行程序的端口如下: Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:90 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED https://www.360docs.net/doc/4015032406.html,stat -ano列出所有正在运行程序的端口及PID 如下: Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:90 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1120 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING 1680 TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING 2880 TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING 3468 TCP 0.0.0.0:19780 0.0.0.0:0 LISTENING 1680 TCP 127.0.0.1:1052 127.0.0.1:1110 ESTABLISHED 3368 TCP 127.0.0.1:1110 127.0.0.1:1052 ESTABLISHED 1680 TCP 127.0.0.1:1141 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1143 127.0.0.1:1433 ESTABLISHED 3468 TCP 127.0.0.1:1433 127.0.0.1:1141 ESTABLISHED 2880 TCP 127.0.0.1:1433 127.0.0.1:1143 ESTABLISHED 2880 TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING 3468 UDP 0.0.0.0:445 *:* 4 https://www.360docs.net/doc/4015032406.html,stat -anb列出所有正在运行程序的端口,PID及使用这个端口的进程( ):

cisco 端口隔离 pvlan

在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan 至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信,实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为second vlan。

WINBOX_ROS软路由器设置

网吧专用ros软路由教程(非常详细) 一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。

重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了): 选择3: Crack RouteOS Floppy Disk,开始破解。 破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则

可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了

端口隔离介绍

端口隔离 为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 目前: z集中式设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。 z分布式设备支持多个隔离组,用户可以手工配置。不同设备支持的隔离组数,请以设备实际情况为准。 z隔离组内可以加入的端口数量没有限制。 说明: z如果聚合组内的某个端口已经配置成某隔离组的普通端口,则该聚合组内的其他端口可以以普通端口的身份加入该隔离组,但不能配置成上行端口。 z如果将聚合组内的某个端口配置成某隔离组的上行端口,则该聚合组内的其他端口不能加入该隔离组,且不允许该设备的其他端口加入该聚合组。(聚合组的具体内容请参见“接入分册”中的“链路聚合配置”) 端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。对于属于同一VLAN的端口,隔离组内、外端口的二层数据互通的情况,又可以分为以下两种: z支持上行端口的设备,各种类型端口之间二层报文的互通情况如图1所示。 z不支持上行端口的集中式设备,隔离组内的端口和隔离组外端口二层流量双向互通。分布式设备不存在不支持上行端口的情况。

图1支持上行端口的设备同一VLAN内隔离组内、外端口二层报文互通情况 说明: 图中箭头方向表示报文的发送方向。

ROS软路由详细设置 图文

软路由设置
ROS 软路由设置
提示:此软件为顶级软路由软件!赶快用吧!记的要《全盘 ghost!不是分区 ghost 恢复 哦!是全盘恢复! 》 不要怀疑软路由的性能,也不用担心所谓的耗电多少。所谓的软路由耗电大,只不过是 商家搞的噱头而已。软路由完全不需要显示器、键盘鼠标。甚至,可以在 BIOS 里设置系统 启动完即关闭硬盘。 至于主板, 带集成显卡的即可。 这样的配置下来, 软路由功率仅仅 20-30 瓦左右。 软路由具有极高的性能和广泛的应用。可轻易实现双线策略、arp 绑定、限速、封杀 BT 以及网吧借线、vpn 等。尤其对有连锁网吧经营者,利用 IPIP 协议,不仅可实现借线目的, 还可象本地操作一样远程管理其他网吧。这些,一般硬路由根本无法与之比拟。 我以前对硬路由一直情有独钟,换上软路由后,对它的强大功能赞叹不已。现在利用它的内 置 VPN 技术轻易做出电信网通加速软件-南北网桥(https://www.360docs.net/doc/4015032406.html,) ,又给两家网吧试做了 IPIP 借线,在这种比较大的压力下,软路由依然运行良好。 我软路由配置:730 主板,128M 内存,早期的 AMD800 毒龙 CPU,集成显卡和一个 8139 网卡,外加两块 3C905 网卡 抓图状态:vpn 在线拨号,IPIP 二家网吧,总用户数量在 500 多。 ROS 软路由基本设置非常简单,如果只做路由转发,以下几步数分钟即可高定: 硬件准备: A. B. C. 首先下载软路由的 ghost 硬盘版,本站已经在压缩包总提供! 释放后,ghost 至一个小硬盘(20G 以下) ,注意,是整盘 GHOST 而不是分区。 将该硬盘挂在要做路由电脑上,注意必须接在第一个 IDE 并且是主硬盘接口。插上一 张网卡,这是接内网的 LAN。开机。 软件设置: 1. 2. 3. 开机,出现登陆提示。用户:admin 密码:空 输入 setup 再按两次 A 在 ether1 后面输入你的内网 IP,如:192.168.0.254/24 (这里/24 是 24 位掩码与 255.255.255.0 一样) 4. 输入完 ip 后, 按两次 x 退出, 现在可以可以 ping 通 192.168.0.254 了, 也可用 winbox
第 1 页 共 27 页

ros多线做端口映射脚本

正文开始,脚本在下面。 我做完ROS加VLAN ADSL多线PCC叠加设置设置后不久,网站开发小组的项目经理就找到我向我提出了需求,因为现在他们的测试服务器是放在我们办公室内网的,我们公司其它部门和其它分公司和我们办公室不是一个局域网,网站开发小组的项目经理想让我们公司的所有同事都能访问到测试服务器做用户体验度测试,想让我帮助实现,当时我一口答应下来,也觉得这是个很简单的事情,但是事情往往出人意料。 我一开始的思路是这样的,第一步就是在IP->firewall-> nat下面做基于目标的伪装,也就是映射,第二步就是要做回流让内网的客户端也能通过公网IP 访问到服务器,第三步就是做动态映射的计划任务,定时更新第一步里面的目标地址即ADSL的地址,最后一步就要用到DDNS做一个二级域名的动态解析方便同事记忆和输入。做完以后发现需求基本满足,就是内网客户端不能通过域名访问到服务器,只能通过内网IP访问,为了精益求精,继续研究,baidu和google 上搜索了无数方法均无效,后来在一个论坛里面看到一个高人的回复内容给了我启发,于是再一次尝试配置居然成功了。不敢独享,现在将思路和脚本整理分享给更多需要的人。 首先我来分析下出现上述问题的原因,因为我们这里的环境是多线叠加的,我们的每个连接在进行路由之前都会对连接进行标记并路由,不同的标记有可能走不同的路由导致数据没办法顺利到达服务器,其内部数据的具体流向以及转换我也不是很清楚,如有高手路过请不吝赐教。下面进入正题,其实很简单,我们只要在标记里面把目标地址为我们的外网接口地址的数据直接通过就可以解决这个问题了,有几条线就做几个标记,最后要添加计划任务更新标记里的目标地址为对应的外网接口地址,所以加上这最后两步一共是六步,下面就放出每一步的脚本(我的环境是双线叠加的,所以以下脚本都是适合双线的,改成多线的也很容易) 1、做映射,这里以把内网的8890端口映射成9000端口为例。comment内容可以先运行脚本以后在winbox里面改,下同

利用命令查看端口及对应程序

利用命令查看端口及对应程序 利用 netstat 命令查看本机开放端口 netstat 是 windows 自带命令,用于查看系统开放的端口,主要参数只有 -a 和 -n ,前者表示显示所有连接和侦听端口,而后者表示以数字格式显示地址和端口号。 在“ 命令提示符” 中输入“ netstat -an ”, 即可显示本机所有开放端口。 其中 active connections 是指当前本机活动连接, proto 是指连接使用的协议名称 local address 是本地计算机 IP 地址和连接正在使用的端口号 foreign address 是指连接此端口的远程计算机的 IP 地址与端口号 state 则表示 TCP 连接状态 注意如果后面的 UDP 协议有异常连接,则可能有木马正使用端口号,正处于监听状态,如冰河木马的默认监听端口号是 7626 利用 netstat 命令查找打开可疑端口的恶意程序 先用命令提示符 " netstat -ano " 命令显示端口状态,再在结果中找到可疑端口,然后根据其 PID 在输入“ tasklist ” 命令显示中查找其对应程序,就可知道其程序名,进而查明程序的来源,采取适当的措施。 直接查看端口与程序 ( 以上两个命令的结合效果 ) 在命令提示符后输入“ netstat -anb ” 回车,即可显示所有端口及所对应的进程信息,用来查找木马非常方便 用第三方端口查看工具 FPORT fport 是 foundstone 出品的一个用来查看系统所有打开 TCP/IP 和 UDP 端口,及它们对应程序的完整路径, PID 标识,进程名称等信息的小工具

H3C-端口隔离操作

端口隔离目录 目录 第1章端口隔离配置..............................................................................................................1-1 1.1 端口隔离概述.....................................................................................................................1-1 1.2 端口隔离配置.....................................................................................................................1-1 1.3 端口隔离配置显示..............................................................................................................1-2 1.4 端口隔离配置举例..............................................................................................................1-2

第1章端口隔离配置 1.1 端口隔离概述 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔 离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供 了灵活的组网方案。 目前一台设备只支持建立一个隔离组,组内的以太网端口数量没有限制。 说明: z配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。 z端口隔离特性与以太网端口所属的VLAN无关。 1.2 端口隔离配置 通过以下配置步骤,用户可以将以太网端口加入到隔离组中,实现组内端口之间二 层、三层数据的隔离。 表1-1端口隔离配置 操作命令说明 进入系统视图system-view - 进入以太网端口视图interface interface-type interface-number - 将以太网端口加入到隔离组中port isolate 必选 缺省情况下,隔离组中没有加入 任何以太网端口

ros软路由教程(非常详细)

一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择 2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。

重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了): 选择3: Crack RouteOS Floppy Disk,开始破解。

破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了

常用端口命令以及关闭方法

常用端口命令以及关闭方法 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分 为以下两大类: 1.系统保留端口(从0到1023) 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP,25 对应着SMTP、110对应着POP3等。 2.动态端口(从1024到65535) 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务)。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。

1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP 协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号,Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。 本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了 可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改 时间,如果发现异常,就可能是中了木马。 2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,推荐你上网时启动Tcpview,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全 三、关闭本机不用的端口 默认情况下Windows有很多端口是开放的,一旦你上网,黑客可以通过这些端口连上你的 电脑,因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如TCP 2513、2745、3127、6129 端口), 以及远程服务访问端口3389。关闭的方法是:

查看电脑端口

1)如何查看本机所开端口: 用netstat -a —n命令查看!再state下面有一些英文,我来简单说一下这些英文具体都代表什么 LISTEN:侦听来自远方的TCP端口的连接请求 SYN-SENT:再发送连接请求后等待匹配的连接请求 SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认 ESTABLISHED:代表一个打开的连接 FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN-WAIT-2:从远程TCP等待连接中断请求 CLOSE-WAIT:等待从本地用户发来的连接中断请求 CLOSING:等待远程TCP对连接中断的确认 LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED:没有任何连接状态 2)如何获得一个IP地址的主机名? 利用ping -a ip 命令查看!再第一行的pinging后面的『ip』前面的英文就是对方主机名! 同样道理,利用ping machine_name也可以得到对方的ip 获得一个网站的ip地址的方法是:ping www.***.com 比如想知道sohu的ip,就用ping https://www.360docs.net/doc/4015032406.html,/来查看就可以了 顺便说一句:如果返回:Reply from *.*.*.*: TTL expired in transit的话,呵呵,代表TTL(生命周期)在传输过程中过期 什么意思呢?我来解释一下! 导致这个问题出现的原因有两个:1)TTL值太小!TTL值小于你和对方主机之间经过的路由器数目。 2)路由器数量太多,经过路由器的数量大于TTL值! 呵呵,其实这两点是一个意思!只不过说法不同而已! 3)如何查看本机的ip地址? 用ipconfig来查看就可以! 也可以再Windows中的开始菜单,运行中输入winipcfg,同样可以看到自己的ip ipconfig命令后面如果加一个参数 /all的话,可以得到更加详细的资料,比如DNS、网关等…… 4)再使用net命令的时候遇到一些错误代码,如何查看对应的错误信息? 用命令 net helpmsg erorr_code来查看就可以了 比如错误代码为:88 则查看命令为:net helpmsg 88 下面有这个错误代码的中文显示! 5)利用telnet连接到对方主机上,想获得一些系统信息,用什么命令? set命令可以很好的完成你所需要收集信息的任务的! 方法:再cmd下直接输入set(telnet对方主机以后,也是直接set就可以了~然后能够得到NNNNN多的

cisco交换机端口隔离的实现方法

现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary

ros端口映射和回流详解

ros端口映射和回流详解 1、什么是端口映射 这里说的端口映射是路由器上的端口映射。一般情况下,网络中路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口或是固定的外网IP地址),而访问不了局域内部服务器或工作站。要想让外面用户访问到局域网的电脑,那么就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,能够转发到局域内部的机器上,例如游戏服务器或WEB服务器。这就是端口映射。 在局域网中建建立一个CS服务器,IP地址为:192.168.0.235,端口为27015,此时在局域内部,如果要在外网上访问服务器,就要把192.168.0.235这台机器的27015端口通过路由器映射到外网。除了CS服务外,其它的服务例如FTP、远程桌面等服务都可以将不同的端口映射出去,以便能在外网通过路由器来访问内网机器。一般的路由器都带有端口映射功能,以下对目前使较多的ROS软路由的端口映射作一说明,并提出解决外网IP显示及回流设置。 2、ROS 2.96 的端口映射的设置 进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面。点击左上角红色的“+”号,添加一条dstnat规则,其中dst.address 填写你要映射的外网IP,本例为218.87.96.xxx(此处请填入您的外网IP),然后选择protocol协议为6,即TCP协议,设置Dst. port(目标端口)为80。设置完成后如图1所示。 单击“Action”选项卡,在Action框中,选择“dst-nat” ,在“To.Address”框中填写内网提供服务的IP地址,本例为192.168.1.3,在“To.Port”填写内网提供服务的IP端口,这样基本映射就完成了,如图2所示,此时可以在外网中输入你的外网IP,即可看到内网192.168.1.3WEB服务器

ROS软路由详细设置(图文)

软路由图文设置
ROS 软路由设置
提示:此软件为顶级软路由软件!赶快用吧!记的要《全盘 ghost!不是分区 ghost 恢复 哦!是全盘恢复! 》 不要怀疑软路由的性能, 也不用担心所谓的耗电多少。 软路由具有极高的性能和广泛的 应用。可轻易实现双线策略、arp 绑定、限速、封杀 BT 以及网吧借线、vpn 等。尤其对有 连锁网吧经营者,利用 IPIP 协议,不仅可实现借线目的,还可象本地操作一样远程管理其 他网吧。这些,一般硬路由根本无法与之比拟。 我以前对硬路由一直情有独钟,换上软路由后,对它的强大功能赞叹不已。现在利用它的内 置 VPN 技术轻易做出电信网通加速软件-南北网桥(https://www.360docs.net/doc/4015032406.html,) ,又给两家网吧试做了 IPIP 借线,在这种比较大的压力下,软路由依然运行良好。 ROS 软路由基本设置非常简单,如果只做路由转发,以下几步数分钟即可高定: 硬件准备: A. B. C. 首先下载软路由的 ghost 硬盘版,本站已经在压缩包总提供! 释放后,ghost 至一个小硬盘(20G 以下) ,注意,是整盘 GHOST 而不是分区。 将该硬盘挂在要做路由电脑上,注意必须接在第一个 IDE 并且是主硬盘接口。插上一 张网卡,这是接内网的 LAN。开机。 软件设置: 1. 2. 3. 开机,出现登陆提示。用户:admin 密码:空 输入 setup 再按两次 A 在 ether1 后面输入你的内网 IP,如:192.168.0.254/24 (这里/24 是 24 位掩码与 255.255.255.0 一样) 4. 输入完 ip 后, 按两次 x 退出, 现在可以可以 ping 通 192.168.0.254 了, 也可用 winbox 在图形界面下访问路由了。 5. 关机,插上另一张网卡,这个是接外网的,即 WAN,现在可以去掉软路由电脑的 显示器和键盘了。 6. 7. 开机,运行 winbox 以 admin 身份登陆 添加外网网卡。在 ip---address 里按+,address 输入你的外网 ip 和掩码位,比如 218.56.37.11/29。network 和 BROADCAST 不填,INTERFACE 里选择 ethr2 8. 增加外网网关。ip-routes 按+,Destination 用默认的 0.0.0.0/0 ,Gateway 输入外网网
第 1 页 共 27 页

如何查看自己已开的和已经关闭的端口号方法.

查看端口在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。小知识:Netstat命令用法命令格式:Netstat -a -e -n -o -s-an -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP 端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。 -s 表示按协议显示各种连接的统计信息,包括端口号。 -an 查看所有开放的端口关闭/开启端口在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP 服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。关闭端口比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。开启端口如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。端口分类逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 1. 按端口号分布划分(1)知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。(2)动态端口(Dynamic Ports)动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供 该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 2. 按协议类型划分按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP

交换机端口隔离

实验一 实验名称:交换机端口隔离(Port Vlan)。 实验目的:理解Port Vlan的配置。 技术原理:在交换机组成的网络里所有主机都在同一个广播域内,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN (Virtual Local Area Network),是在一个物理网络上划分出来的逻辑网络,这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,即通过VLAN的划分,不同VLAN间不能够直接访问。一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口,这时MAC地址表多了一项VLAN信息。 实现功能:通过划分Port Vlan实现本交换机端口隔离。 实验设备:S2126G一台,主机四台,直连网线四根。 实验拓朴:

实验步骤:1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports

ros端口映射几种方法

教程:ROS如何设置ADSL的端口映射(端口转发) ADSL的外网IP是不固定的,每次重新拨号都会被重新分配个IP,做端口映射的时候就不太好弄,网上找了很久也没有能用的方案,研究了1天,终于搞定了,分享出来可以给需要的人参考。 1. 打开Winbox->New Terminal,执行如下命令:/ ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out1 / ip firewall nat add action=dst-nat chain=dstnat comment=web80 disabled=no dst-address=外网IP dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.0.8(DNS服务器IP)to-ports=802. 复制如下Script,名为ADSL_YingShe::global newip [ /ip address get address ] :set newip [:pick $newip 0 [:find $newip "/"]] :global oldip dst-address] :if ($newip != $oldip) do={ :log info dst-address=$newip] :log info "ADSL映射修改完毕"} 我这里设置了3个端口 3. 最后设置事务 System->Scheduler,Interval设置脚本执行时间间隔,我设置为2分钟。On Event里填写::execute ADSL_YingShe 至此设置完成,应该就可以用了,下面简单说一下脚本的作用: 1. 搜索PPPOE端口的外网IP地址 2. 搜索名为: "web80",端口为: 80的NAT 规则外网IP地址与PPPOE端口IP作比较。 3. 比较如果不一致,说明外网IP变了,则把NAT 规则外网IP地址设置为PPPOE端口实际外网IP 4. 2分钟(可设置)查询一次,如果间隔设置太大,IP更新速度就慢,设置太小,路由器的负荷就会大。所以应根据需要合理设置。 真是死脑筋,固定IP会,不固定的就不会了? 不固定的外网IP不写就是了 进入winbox 打开终端(New Terminal) / ip firewall nat add chain=dstnat protocol=tcp

相关文档
最新文档