如何讓 ZYXEL 642R ATUR 設定成硬體撥接後,能夠讓別人Ping及tracert不到?

[sinachen]

精華文章 Made By SINA

如何讓 ZYXEL 642R ATUR 設定成硬體撥接後,能夠讓別人Ping及tracert不到?

原理是關掉ATUR對於ICMP的回應,ip區段為 192.168.1.x 硬體撥接後的 NAT 虛擬IP

加一個 Filter 到 1 上

Menu 21.1.1 - TCP/IP Filter Rule

Filter #: 1,1
Filter Type= TCP/IP Filter Rule
Active= Yes
IP Protocol= 0 IP Source Route= No
Destination: IP Addr= 192.168.1.0
IP Mask= 255.255.255.0
Port #=
Port # Comp= None
Source: IP Addr= 0.0.0.0
IP Mask= 0.0.0.0
Port #=
Port # Comp= None
TCP Estab= N/A
More= No Log= None
Action Matched= Forward
Action Not Matched= Check Next Rule

這樣就得到一個結果, 限制了不回應 ICMP 的 IP 區段了 192.168.1.0 - 192.168.1.255

進入 11 遠端設定 remote node setup

選 1
至 session options
edit filter sets=no 按空白鍵變成yes
按enter進入
把 Input Filter Sets:
protocol filters= 1
一直按enter離開儲存後 TCP/IP Filter Rule 1 就開始工作了!
別人就無法 ping 及 tracert
您自己上網可以 ping 及 tracert 別人喔!

[sinachen]

可以試試 http://sinachen.dtdns.net ping不到喔!

[amd3dnow]

最初由 sinachen 發表
可以試試 http://sinachen.dtdns.net ping不到喔!

好亂的站,看不懂!!

[bx2aa]

最初由 sinachen 發表
可以試試 http://sinachen.dtdns.net ping不到喔!

假設我今天只要給 61.223.95.158 這個人可以 Ping 到我的話應該如何設定?

再假設今天我要讓所有人 Ping 到我, 要如何設定?

這兩個設定出來後, 應該可以得到一個答案,
脫褲子放屁!
就是原本就讓人 Ping 不到.
不需額外加那個 ICMP 的.

[KillS]

真懷疑你有試成功過?
外面人ping你,是ping到642r的public ip不是ping到內部, 你設192.168.1.x怎麼會有影響,而且還設成forward(這代表通過的意思).
照如上設定,我剛用VPN從遠端機器ping回來,結果如預期我能ping出去,別人也能ping我,完全沒用. 642r不能判斷icmp種類是無法達到 "你能ping人,別人不能ping你".

[KillS]

要讓人ping不到很簡單,
IP protocol=1
destination ip:0.0.0.0
source ip :0.0.0.0
action matched= DROP
action not matched= check next rule(確定你有設next rule,整個rule要封閉)
------------------
若想限定某ip(如61.219.1.1)可ping你
上面rule前再加一條
ip protocol=1
destination ip : 0.0.0.0
source ip: 61.219.1.1
action matched=forword
action not matched=check next rule

[sinachen]

或許各位不相信
但事實擺在眼前
別人就是ping不到
自己就是ping的到別人
架設網站 web ftp pop3 smtp telnet 一切正常
上網也都正常
反正就是別人ping不到!
使用windows架站或linux架站結果都一樣
多人測試無誤
但是各位說的硬體撥接得到的 public ip ,在642定義下可能就是虛擬為 192.168.1.0
畢竟public ip隨時變化,根本無法得知,對吧?
再來各位說 642 無法判別ICMP類型,應該吧!但是如果設 ip protocal = 0 就OK
若設ip protocal = 1 確實都無法正常連線
所以 ip protocal = 0 在 642 定義下可能就是針對一般讓外人ping不到烏龜所定義的
設為drop 確實也都無法正常連線,但設為forward就正常囉,原理為何?可能也是與ip protocal = 0 搭配使用吧!
各位大大能夠知道為什麼這樣設能達到理論上做不到的功能哩?????大家一起討論吧!

[bx2aa]

最初由 KillS 發表
要讓人ping不到很簡單,
IP protocol=1
destination ip:0.0.0.0
source ip :0.0.0.0
action matched= DROP
action not matched= check next rule(確定你有設next rule,整個rule要封閉)
------------------
若想限定某ip(如61.219.1.1)可ping你
上面rule前再加一條
ip protocol=1
destination ip : 0.0.0.0
source ip: 61.219.1.1
action matched=forword
action not matched=check next rule

IP protocol=1
destination ip:0.0.0.0
source ip :0.0.0.0
action matched= DROP
action not matched= check next rule
這個不能設定

會回應 Invalid Entry
應該是原本就 "有了".

ip protocol=1
destination ip : 0.0.0.0
source ip: 61.219.1.1
action matched=forword
action not matched=check next rule
這個是讓某人可以 Ping 到.

所以原本就讓人 Ping 不到, 多 "加樓" 上那個只是脫褲子放屁!

[KillS]

sorry, 的確能用,原因如下, ip protocol=0 代表any protocol
所以你的設定解釋為只要是送給內部(192.168.1.2)的封包就通過, 所以可以ping且收到回應. 而別人ping你只ping到642r上所以check next rule(若沒設就是block)
至於你說ip protocol設為1不能連線是因你只讓icmp通過其他tcp, udp都進不來.

[KillS]

最初由 bx2aa 發表


IP protocol=1
destination ip:0.0.0.0
source ip :0.0.0.0
action matched= DROP
action not matched= check next rule
這個不能設定

會回應 Invalid Entry
應該是原本就 "有了".

ip protocol=1
destination ip : 0.0.0.0
source ip: 61.219.1.1
action matched=forword
action not matched=check next rule
這個是讓某人可以 Ping 到.

所以原本就讓人 Ping 不到, 多 "加樓" 上那個只是脫褲子放屁!

怎麼不能設定, 我昨天就是這麼試的要不要我po image給您看,mask亦0.0.0.0您不會不知道設吧 ,當然我最後一條 rule的action not matched是設forward.
不用懷疑啦, 我設完還remote公司電腦來回ping過.