【問題】關於 BrazilFW 軟體路由器防火牆設定技巧

[fireflybug]

請問各位大大，BrazilFW 有個 "port轉換" 功能，可以讓我使用3389遠端桌面從家裡連回公司，但是我發現，任何網路都可以連，這樣就有點危險了，如果我想要只讓特定IP才可以使用port轉換連回公司，要做哪些設定?我自己試了進階防火牆，好像沒用，port轉換好像優先權比較高，還望高手賜教^

[sugo0228]

請問大大
妳PORT的轉換
是怎設定的
可以讓家裡遠端桌面連到公司內部勒?
是例如這樣子的嗎?
port Y 192.168.1.1(公司內部IP) 60.248.35.1(家裡IP) tcp 3389 3389
這樣子對嗎?
還是家裡IP那個要改成公司對外PUBLIC IP勒?
因為我想從家裡連到公司內部LINUX的SAMBA
可以麻煩教教我嗎?

[linux_xp]

引用:

作者: fireflybug

如果我想要只讓特定IP才可以使用port轉換連回公司，要做哪些設定?

防火牆規則（外部 TO 內部）:
來源 IP xx.xx.xx.xx，目的 port 3389，allow 允許通過

在最後面（最後一條）新增：
來源 any，目的 any ，drop 丟棄封包

概念：允許特定，其餘全部封鎖


BrazileFW 防火牆（外部 to 內部）預設值好像是：全部允許
因此只設單條 allow 沒有意義，因為預設就是全部 allow

ps.雖全部允許，但沒埠轉換一樣進不去，NAT 可起到防火牆效果，所以一般情況下，不必特別去設全部封鎖，除非有用到埠轉換，然後又想只讓特定位址進入。

只設單條 deny 會比較繁瑣，就會變成這樣子：
上一條：來源 IP xx.xx.xx.xx，目的 port 3389，allow
下一條：來源 any，目的 port 3389，deny
這樣也是可以，只是乾脆全部 deny，在開放特定比較省事

引用:

作者: sugo0228

還是家裡IP那個要改成公司對外PUBLIC IP勒?
因為我想從家裡連到公司內部LINUX的SAMBA

smb 的 port 是：tcp/udp 137,138,139
實際只開 tcp 139，udp 137、138 也能通

smb over TCP/IP (要多一個 port 445)
感覺直接用UMC網址 \\Public IP 好像可以連
但實際沒看過有這種用法，估計八成是行不通，可能是真的不會通，或有其它因素

需要 VPN 才行，撥接 VPN 進入公司網路
然後本地端電腦就變成和遠端公司網路同一區網，直接開網路芳鄰就能連

BrazilFW 本身不支援 VPN，不知道有無 addone 外掛可安裝，可能要找一下

搜尋到這邊有資料：
http://b2d.phc.edu.tw/modules/tadbook2/view.php?book_sn=5&bdsn=384

看起來挺複雜的....

提供一個最簡單的方法：
------------------------------------------
遠端連線不要用 samba 了，麻煩又不安全

直接用 ssh 連線 (tcp 22)
windows 端使用 winscp 這個免費軟體
使用起來和 ftp 軟體非常類似

雖然不像 smb 可以直接開視窗抓檔案，不過尚可接受，反正遠端連線本來速度就慢，直接開視窗抓檔案，不見得有好處，光看手電筒在那邊掃來掃去，等到睡著...採類似 FTP 的方式，至少還有進度條可以看，SSH 連線又有加密，媲美 VPN，方便又安全。

由於 SSH service 每套 Linux 幾乎都是預設開啟的
不需要安裝任何東西
只要 Linux 主機有帳號，防火牆有打開 tcp 23，用 winscp 就能登入 （主機掛在路由器 NAT 底下，需埠轉換）