買了一個英文版的router,結果設定的義意與方法實在不是很能完全了解,這時只好到網路上找相關的說明,好不容易找到有代理商將其中文化的說明文件,結果因為其舉的例子與我的狀況差異太大,結果反而使我一直受限於其舉的例子形態而一直無法用對我需要的設定。底下的內容,希望對於與我狀況相近者能有所幫助。
首先我是將這個ip分享器當作router使用,而其內部我架設了一台webserver(如上圖),並且具有以gmail 為smtp server寄信的功能。而router的網路相關設定,如dns、getway、submask等都在router就設定好了,為了加強管控,我將TP-LINK這台router的firewall 與IP Address Filtering同時啟動,並內定IP Address Filtering的規則為Deny the packets not specified by any filtering rules to pass through the device.(如下圖)
也就是所有的內部網路的IP與PORT及其對外的所有連線通通都擋住。
而後再選擇add new(如下圖)來新增允許通過的規則:
如前面所說的因為我是架設一個webserver,所以新增的規則必須能開啟真實server的內部ip之內聯tcp 80port(如下圖),如此外面的人才能透過網路存取該server的web(tcp 80 port 協定)資料。
然而webserver必須有dns的服務,才能正常傳送資料,而一般沒有啟動IP Address Filtering且內定規則為Deny the packets not specified by any filtering rules to pass through the device.的情況下,都可以正常連線dns server,自動透過TP-LINK這台router的DNS服務所偵測到的dns資料,如此網路才會較順暢而不會因為一直試圖取得dns資料而使webserver的速度變慢,所以也必須允許內部真實server能獲取到tp-link給的dns服務(upd 53 port),而新增開啟該真實server內部IP之內聯到外的upd 53 port(如下圖)。
關於IP Address Filtering要新增哪些規則,主要是要看你的server需求,其中特別要搞清楚的是「LAN IP Address:」,與「LAN Port:」,是外對內的需求,而「WAN IP Address:」與「WAN Port:」是內對外的需求。例如:前面我提到該真實webserver有以gmail 為smtp server寄信的功能,所以也就必須開啟tcp 465 port(如下圖),這樣內部的真實server才能透過465 port將寄信的需求送到gmail的smtp而由其代為寄信。
最後要再提個案例,若你的內部的真實server有提供特定port的服務,然而並不想對所有人開放,只想給特定的網際網路上真實ip用戶開放,則透過指定「WAN IP Address:」的ip就是很好的方法,例如:若我的真實server(若內部ip為:192.168.0.3)有提供443 port的https服務,然而我只想然123.233.111.111這個真實ip的點來使用,則我可新增規如下圖:
PS:當然以上設定IP Address Filtering的前提是:以tp-link透過虛擬伺服器(設有相關的port服務的指向)的設定,指向192.168.0.3這個內部真實server並。如此在IP Address Filtering的相關port限制或開放的設定,才能實現你的需求!
沒有留言:
張貼留言