我有一台 TP-Link ER605 连接到我的 Comcast Business 路由器。Comcast 路由器上的防火墙已设置好,运行正常。不幸的是,TP-Link 的 ACL 要么缺少某些东西,要么配置不正确。我一直在使用 AWS、Linux 和 Windows 在线为我的服务器使用防火墙和 ACL。仍在学习,但这一点让我很为难。
该防火墙的目标是阻止除 HTTP、HTTPS 和 UDP DNS 之外的所有内容(包括输入和输出)。
问题
如果我删除 BLOCK_REMAINING,我就可以连接到互联网。当然,我不想删除它。这种方法在其他操作系统和 AWS 上对我有用(阻止输入和输出,仅使用端口 1024-65535 和 http 协议)。
解释
THIS_ROUTER = TP-Link 路由器 (192.168.0.1)。WORKSTATIONS 是网络上允许的计算机的单独 IP。ALL_SUBNETS 均为 192.168.0.0/24 和 10.1.10.0/24。前两个用于 WAN 接口,以便它可以与 Comcast 路由器 (10.1.10.1) 通信。接下来的两个用于 TP-Link 路由器与工作站通信。LOCAL_BLOCK_IN/OUT 的目标是防止本地网络上的其他计算机相互通信。然后是 HTTP、HTTPS 和 DNS 允许阻止。服务类型允许另一侧的端口 1024-65535 和 80、443 和 UDP 53。BLOCK_REMAINING_IN/OUT 就是这么做的,阻止剩余的协议、地址和端口。