【标题】：ISDN路由器的高级设置(上)
【关键字】：路由器,路由,ISDN,IS,ISDN
【来源】：网络

ISDN路由器的高级设置(上)

我单位员工上网原先都是各自为政——自己买个猫，拨号上网。这种方法不仅效率低、无法控制，而且安全性差，使局域网很容易受到来自Internet的入侵。为此，笔者为单位申请了一条ISDN线路，添加一台Zyxel P100IH拨号路由器，统一局域网内上网的出口，同时加强对单位上网用户的管理。

这种方案不但降低了话费，提高了效率，而且一些可能发生的安全问题也被完全掌握在管理员的控制之中。

在本篇文章中，笔者将讲述在设置拨号路由器过程中会遇到一些难点问题。安装拨号路由器过程比较简单，笔者不再赘述。

安装ISDN路由器后，就会发现，ISDN路由器的默认设置给予局域网内用户极大的权力，用户可以随意使用任何互联网服务,如:WWW、FTP、E-mail、Telnet、IRC等，也可以访问任意一个Web站点，还可以自己私自设定一个合法的IP地址通过ISDN路由器上网，诸如此类的问题让管理员非常棘手。

如何阻止局域网内用户访问非法Web站点？如何阻止某台单机上网？如何设置防火墙？这些问题，是本文探讨的重点。

设置P100IH有三种方法：

1)一是使用终端模拟软件，如：Win 9X中的超级终端，使用它需要你的电脑直接与路由器的控制口相连接；

2)二是使用Telnet工具，用它则不同于第一种方法了，只要你的电脑能Ping通路由器就行；

3)三是使用Zyxel公司的PNC软件，该软件可运行于Win 9x/NT平台，图形化操作界面，还提供了联机帮助，是个很不错的路由器配置工具。该软件可在P100IH的配套光盘中找到，使用它的条件是你的电脑通过局域网能Ping通路由器。为了便于讲解，笔者以Telnet选单方式向读者介绍如何设置ISDN路由器。

阻止本地非法用户访问互联网

如果你想阻止局域网内某个指定的用户访问互联网，可以使用本方法。

1.首先在Menu21中建立一个过滤项

Menu 21 - Filter Set Configuration
Filter Filter
Set # Comments Set # Comments
1 Block a client 7
2 8
3 9
4 10
5 11
6 12
Enter Filter Set Number to Configure= 0
Edit Comments=
Press ENTER to Confirm or ESC to Cancel:

2.建立一条过滤规则，拒绝接受这个用户所发出的数据封包。

Menu 21.1.1 - TCP/IP Filter Rule
Filter #: 1,1
Filter Type= TCP/IP Filter Rule
Active= Yes
IP Protocol= 0 IP Source Route= No
Destination: IP Addr= 0.0.0.0
IP Mask= 0.0.0.0
Port #=
Port # Comp= None
Source: IP Addr= 192.168.1.5
IP Mask= 255.255.255.255
Port #=
Port # Comp= None
TCP Estab= N/A
More= No Log= None
Action Matched= Drop
Action Not Matched= Forward
Press ENTER to Confirm or ESC to Cancel:

关键字解释

Filter Type：	过滤规则类型，分为TCP/IP与Generic两种过滤类型；
Active：	是否激活本规则；
IP Protocol：	数据封包的通信协议，ICMP=1，TCP=6，UDP=17；
Source IP addr：	输入你想阻止其上网的本地用户IP地址；
IP Mask：	根据'Source IP Addr='设置IP掩码，一台工作应该设置为255.255.255.255；
Action Matched：	设为'Drop'，拒绝该用户所发出的数据包；
Action Not Matched：	设为'Forward'，接受其它工作站所发出的数据包。

3.激活上面建立的过滤项：进入Menu3.1，在'protocol filter'中输入过滤项代码就可以了

Menu 3.1 - General Ethernet Setup
Input Filter Sets:
protocol filters= 1
device filters=
Output Filter Sets:
protocol filters=
device filters=

识别网卡地址来阻止电脑访问互联网

上例使用IP地址过滤的方法来阻止本地用户登录互联网，如果用户私自将已被封锁的IP地址更换为另一合法值，那管理员该怎么办呢？没问题，我们知道每块网卡在出厂时都有一个全球唯一的网卡地址编码，P100IH就可以根据这个地址来过滤上网的用户。你只要将网卡地址加入到过滤条件中，就可以阻止非法用户登录互联网（除非他再换一块网卡）。

1.取得网卡地址

本机网卡地址的获得：在Win 9X操作系统下执行Winipcfg命令，其中的“适配器地址”即网卡地址；Win NT下执行Ipconfig/ALL命令，“Physical Address”即网卡地址。假定本例网卡地址为[00 80 c8 4c ea 63]。

2.首先建立一个过滤项，然后在过滤项中再建立一条过滤规则。

Menu 21.1.1 - Generic Filter Rule
Filter #: 1,1
Filter Type= Generic Filter Rule
Active= Yes
Offset= 6
Length= 6
Mask= ffffffffffff
Value= 0080c84cea63
More= No Log= None
Action Matched= Drop
Action Not Matched= Forward

关键字解释

Filter Type：	设置过滤类型为'Generic Filter Rule'（注意同上例的区别）；
Active：	激活规则，设置为'Yes'；
Offset(用字节表示)：	偏移量设置为'6'，网卡地址在数据封包中的起始位置；
Length(用字节表示)：	网卡地址长度设置为'6'；
Mask(用12个十六进制数表示)：	默认设置为'ffffffffffff'；
Value (用十六进制数表示)：	网卡地址，本例设为[00 80 c8 4c ea 63]；
Action Matched：	设为'Drop'，当网卡地址与设定值相同时，拒绝该用户所发出的数据封包；
Action Not Matched：	设为'Forward'，接受其它工作站所发出的数据封包。