如何将 LAN 端口开放为仅一个外部 WAN IP 地址?

如何将 LAN 端口开放为仅一个外部 WAN IP 地址?

如何配置我的家庭 LAN 路由器(D-Link Dir-882)以仅从一个特定的 WAN IP 地址接受与 LAN IP 和端口的通信?



更详细;

我的 DIR-882 家庭 LAN 路由器上有一个端口是开放的,因为我经常使用 VNC 软件从 WAN 计算机访问它。但是,我的家庭 LAN 开放端口遭到试图访问的人的攻击。我尝试过更改端口和 IP 地址,但攻击者总是能找到我的 IP 和开放端口。因此,我想告诉我的家庭 LAN DIR-882 路由器只为往返于我所用计算机的 WAN IP 的流量开放指定端口。因此,从路由器的 Web GUI 中,我选择了“打开 ipv4 过滤并允许列出的规则”,然后输入以下规则;

名称:VNC
源 IP 地址范围:WAN:(我输入了我用来访问家用电脑的 WAN IP 地址)
目标 IP 地址范围:LAN:(我输入了我家用电脑的 LAN IP)
协议和端口范围:ANY:(我输入了我想在家用 LAN 电脑上打开的端口)
计划:始终启用

....但是我无法在局域网计算机上浏览互联网。



任何指导都将不胜感激,
谢谢。



附言:LAN 和 WAN 计算机都是 iMac。

答案1



经过几个小时的谷歌搜索,我找到了一个几年前遇到同样问题的人发布的解决方案。http://forums.dlink.com/index.php?topic=61517.15

在家庭 LAN 路由器 d-link DIR-882 Web GUI 中,我打开了“打开 ipv4 过滤并允许列出的规则”,并创建了以下两个规则。


规则 1

名称:允许 LAN 流量
源 IP:LAN : 192.168.0.1 - 192.168.0.254
目标 IP:WAN: 1.1.1.1 - 254.254.254.254
协议和端口:任意
计划:始终启用

上述规则允许所有 LAN 计算机发起与 WAN 的通信。LAN 路由器会自动允许来自 WAN 的任何回复,因此无需设置任何规则来允许 WAN 通信进入 LAN(请参阅底部的注释)。



规则 2

名称:授予一个 WAN-IP 访问
权限 源 IP:WAN:我的 WAN IP
目标 IP:LAN:LAN IP
协议和端口:任意
计划:始终启用

上述规则允许我的 WAN IP 地址(且仅允许我的 WAN IP 地址)通过 -ANY- LAN 端口发起与 LAN IP 的通信。或者,有一种方法可以指定一个端口而不是 -ANY-,但这样做意味着要编写另一条规则并更改上述规则。



最后,使用路由器的 Web GUI,我转发了我想要 WAN IP 访问的 LAN 端口。如果您不转发 LAN 端口,那么即使在上述规则中,您允许 WAN 访问任何端口(或该特定端口),该端口仍将对 WAN 关闭。



谢谢。



笔记

http://forums.dlink.com/index.php?topic=48059.msg199390#msg199390
...如果您激活“打开 IPv6 防火墙并允许列出的规则”,则所有入站和出站流量将被完全阻止。在这种情况下,您必须定义至少一条允许任何类型的传出流量的规则(由于防火墙的状态检查功能,该规则隐式允许入站响应流量)。




特别鸣谢超级用户 M 维尔茨汤姆·延因为认识到我的问题是合法的并且伪编码是可能的解决方案!

答案2

听起来您需要添加一个允许规则来允许 LAN 流量从 WAN 端口传出。

下面我假设路由器会将 0.0.0.0/0 识别为所有 IPv4 地址的范围。如果不起作用,您可能可以使用 0-255.0-255.0-255.0-255。DIR-882 手册未指定格式。

局域网到互联网的规则如下

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: WAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

您可能还希望允许 LAN 客户端进行通信

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: LAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

如果您的路由器有 WAN ipv6 地址,您可能也希望为其启用类似的规则。

您也可以改用 DENY 规则,指定任何 WAN IP 作为源,并将您的 LAN 计算机指定为目标。这将防止防火墙默认阻止所有内容。唯一的问题是将此规则拆分为两个范围以允许您的 WAN 主机访问。

答案3

我觉得你的路由器处理这个问题的方式很蠢,全部交通(包括回复交通除了规则明确允许的。(我不确定全部在这种情况下,将仅过滤 WAN 到 LAN 流量,甚至包括 LAN 到 WAN 流量。我想你必须测试才能知道。)换句话说,它过滤纯粹的无国籍者方式。

如果是这样的话,为了使其正常工作,您可能需要有以下允许规则:

源:0.0.0.0/0,目标:LAN 子网,协议:ANY,端口:0-(VNC 端口 - 1)

源:0.0.0.0/0,目标:LAN 子网,协议:ANY,端口:(VNC 端口 + 1)-65535

源:允许远程 WAN IP,目标:VNC 计算机 LAN IP,协议:ANY,端口:VNC 端口

请注意,从 WAN 到使用端口号的其他 LAN 计算机的流量VNC port也将被阻止(并且它们不一定是 VNC 流量)。因此您可能需要更多规则。

(事实上​​ VNC 可能只使用 TCP 端口,但是,规则已经太多了。)

一个可能“更聪明”的方法是允许临时端口0.0.0.0/0如果 VNC 端口号不在范围内,则将WAN 连接到 LAN 子网。请注意,不同的操作系统可能使用不同的范围。

正如其他人所建议的那样,您可能想尝试 DENY/黑名单方法,但这可能更棘手,具体取决于您如何准确输入源 IP 范围(例如字面意思A-B或通过输入具有前缀长度的子网地址)。


我确实建议在局域网计算机本身上设置防火墙。

相关内容