昨天晚上防火牆故障

wish

我也不知道為什麼大陸的同胞對我們這個小站這麼有興趣，每天一大堆IP來找我們麻煩，有的是class C 為單位，例如我堵整個Class C 區段，居然防火牆還會有漏網之魚，防火牆的CPU 使用率有時居然跑到60%，真是為它捏一把冷汗。

今天把防火牆拆開清潔內部，並換上新風扇及電容，希望別再當機了。

fks

最近新辦網路送的防火牆還沒有使用嗎?這次故障的是原有的防火牆。

wish

fks 發表於 2016-4-27 09:25 PM
最近新辦網路送的防火牆還沒有使用嗎?這次故障的是原有的防火牆。

哈！那台DELL 高檔貨我根本弄不起來........

xiaolaba

找中華電信就對了

wish

xiaolaba 發表於 2016-4-27 10:17 PM
找中華電信就對了

中華電信要我去代理商那裡上課

tonyufo

DELL哪邊不會設定呢?   小弟可幫忙

wish

tonyufo 發表於 2016-4-28 04:16 PM
DELL哪邊不會設定呢?   小弟可幫忙

喔！你設定過DELL TZ500？

tonyufo

wish 發表於 2016-4-28 04:34 PM
喔！你設定過DELL TZ500？

我賣過他們家的機器，也設定過，不知道您卡在哪邊呢?

wish

tonyufo 發表於 2016-4-28 04:36 PM
我賣過他們家的機器，也設定過，不知道您卡在哪邊呢?

這台我先在我家試，我家是用PPPOE 測試可上網了，就拿到工作室去裝，工作室是用固定IP，我PPPOE部份改成固定IP後不能連上網路，機器燈號跟設定畫面都正常有連上線，就像port 被關著一般，我恢復原始值再用固定IP重新設定一次也是這個情形，所以就先拿舊防火牆頂著了。

tonyufo

wish 發表於 2016-4-28 04:45 PM
這台我先在我家試，我家是用PPPOE 測試可上網了，就拿到工作室去裝，工作室是用固定IP，我PPPOE部份改成 ...

您固定ip設定完成後，可以正常ping到防火牆嗎?

第二，您用tracert IP，可以routing到防火牆嗎?

如果以上都可以，看方不方便讓我連上去看看狀況，應該是卡在規則或routing不對而已。對了，您是設成nat模式對吧?

wish

tonyufo 發表於 2016-4-28 04:56 PM
您固定ip設定完成後，可以正常ping到防火牆嗎?

第二，您用tracert IP，可以routing到防火牆嗎?

現在我把DELL 拆下來了，要試的話就要看你什麼時候有空可以指導，我再把它裝起來。

那台舊的Vigor2950 如果你能指導一下我也很有興趣。

tonyufo

wish 發表於 2016-4-28 05:01 PM
現在我把DELL 拆下來了，要試的話就要看你什麼時候有空可以指導，我再把它裝起來。 ...

我六點下班，所以一般上班時間或等我回到家，我私訊您我的line好了^____^

2950哪部份呢?   它主要功能其實是vpn service喔。

wish

tonyufo 發表於 2016-4-28 05:02 PM
我六點下班，所以一般上班時間或等我回到家，我私訊您我的line好了^____^

2950哪部份呢?   它主要功能其 ...

這台Vigor2950 我沒有用到vpn，我就當做防火牆用，不過裡面的很多功能我也不是很清楚，我想它應該也沒有發揮最大效用。

tonyufo

wish 發表於 2016-4-28 05:09 PM
這台Vigor2950 我沒有用到vpn，我就當做防火牆用，不過裡面的很多功能我也不是很清楚，我想它應該也沒有 ...

您想瞭解哪個部份呢?  因為它的功能其實非常的"簡單"

ps這台我應該"至少用七、八年了吧"

wish

tonyufo 發表於 2016-4-28 05:14 PM
您想瞭解哪個部份呢?  因為它的功能其實非常的"簡單"

ps這台我應該"至少用七、八年了吧" ...

我現在還在客戶這邊，我回去整理一下問題再上來請教，我主要是會在論壇上發問，因為這樣問與答才會留下來。
先謝謝你了

tonyufo

wish 發表於 2016-4-28 05:24 PM
我現在還在客戶這邊，我回去整理一下問題再上來請教，我主要是會在論壇上發問，因為這樣問與答才會留下來 ...

好的。大家互相討論嘍

cremaker

tonyufo 發表於 2016-4-28 04:36 PM
我賣過他們家的機器，也設定過，不知道您卡在哪邊呢?

帥，高手出現了！給你一個讚！n_031|

fix2010

敏感期嘛，两边估计斗得不亦乐乎。哎，那么多ip，要是帮老大点点广告也就算了。

wish

tonyufo 發表於 2016-4-28 05:14 PM
您想瞭解哪個部份呢?  因為它的功能其實非常的"簡單"

ps這台我應該"至少用七、八年了吧" ...

以下是error 的其中一條訊息︰

[Fri Apr 29 10:11:15 2016] [error] [client 79.141.167.13] script '/discuz/do.php' not found or unable to stat, referer:

我想要出現/discuz/do.php 就擋掉，請問在Vigor2950要怎麼設定？
我前幾天有試官網提供的"如何設定URL關鍵字，阻擋使用者瀏覽特定網頁?"，不過完全無效，應該不是用這個才對。

http://www.draytek.com/index.php ... mid=264&lang=tw

tonyufo

wish 發表於 2016-4-29 10:22 AM
以下是error 的其中一條訊息︰

[Fri Apr 29 10:11:15 2016] [error] [client 79.141.167.13] script '/d ...

差點忘了，這功能是"內對外"喔，也就是它是管制內部pc不能上哪些特定網站

所以我才會強調它的功能很簡單

至於外對內，有沒有擋法呢?  如果您確定這頁是不用的，可用空白頁代替它

我剛又看了一下，試看看這個方法

wish

tonyufo 發表於 2016-4-29 10:28 AM
差點忘了，這功能是"內對外"喔，也就是它是管制內部pc不能上哪些特定網站

所以我才會強調它的功能很簡單 ...

我是想要擋掉外對內的。

wish

tonyufo 發表於 2016-4-29 10:28 AM
差點忘了，這功能是"內對外"喔，也就是它是管制內部pc不能上哪些特定網站

所以我才會強調它的功能很簡單 ...

我不了解設定這樣要做什麼

goodnight

wish 發表於 2016-4-28 04:45 PM
這台我先在我家試，我家是用PPPOE 測試可上網了，就拿到工作室去裝，工作室是用固定IP，我PPPOE部份改成 ...

大大您好

固定 ip 設定好, 還要設 DNS IP 和閘道器 IP
然後有幾個個地方要設
0.防火牆的 ip 區域要跟論壇主機同區段, 是否開啟DHCP SERVER
1. 外部 IP 對映內部 IP (即虛擬主機), 例如論壇主機  192.168.0.10, 就對映外部某一組 IP
2.設定對外的服務 PORT (FTP, DNS, PING, MAIL, SSH ,HTTP, HTTPS, IMAP等等)
3.內對外管制條例, 一般是全部通過, 但主機要設定由哪個 WAN PORT出去
4.外對內, 設定 PORT 要對映到哪個內部 IP

基本上, 這樣應該會通

接下來是設定入侵防3偵測和鎖 IP, 如果 IP 持續攻擊, 才有辦法鎖

如果可以, 您可以把防火牆放在跟主機同一IP組 , 中華應該有 3組, 你可以開一組給防火牆用, 這樣就不會動到論壇防火牆, 然後你有哪些設定, 可以提出來, 讓我們先連上去幫你玩玩看, 順便幫你設上去

以上為我個人的經驗給您參考

goodnight

大大您好
以下是我防火牆設定畫面, 您參考一下, 看看有沒有幫助
看您還想知道什麼設定

這是以 ip 方式, 設定外部ip


這是以 URL名稱設定


以下是外部攻擊的IP及其他我要拒絕的 IP


這是外對內的管制條例, 要拒絕的都放在前面


有些防火牆有下列的功能可以限制 IP 連線的狀況, 一般至少要開放每個 IP 150個連線

tonyufo

wish 發表於 2016-4-29 12:12 PM
我不了解設定這樣要做什麼

因為您單純測了CSM←這功能是內對外的封鎖

但您要的是外對內，不過小弟沒有測過這樣的設定方式是不是能做到檢查

goodnight

wish 發表於 2016-4-28 04:34 PM
喔！你設定過DELL TZ500？

TZ500 中文手冊
http://www.fttb.hinet.net/3ip/download/TZ500-QSG.pdf

jason1204

有些防火牆預設是全開.(Vigor2950,TZ500是全開的)
有些是全關的.
要做伺服器最好是全關.
只開放要用的可以進出.
然後在準對來意不明的IP進行封鎖.
安全第一.
這樣做的好處,可以避免一些不用的程式偷跑.