Windows 2000 RRAS筛选器设置

　　前面我曾专门撰文《利用Windows2000Server的RRAS实现软由》，介绍如何将多个网段连接起来。本文将介绍如何利用RRAS中的输入/输出筛选器，设置具体的基于IP地址、基于协议、基于应用（端口）的访问控制。

　　比如有网友问：win2000软由的筛选器如何设置？如何区分输入和输出？假设如下情况，能否实现网段A能访问网段B，而网段Ｂ不能访问网段A，如何实现？

　　一、预备知识：

　　1、实际中常需要针对具体应用作，那么网管就需要了解：常用服务、应用所用的协议及端口，可查阅winntsystem32driversetcprotocol和文件services。如WEB服务器所用的http使用tcp:80口；ftp要使用tcp:20口来传数据，tcp:21口来控制；ping命令依赖协议号为3的ICMP协议。

　　ping 192.168.1.100后面为了描述方便，简述为：客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样，如客户机以任意端口去连FTP服务器的默认tcp:20和21口；以UNC径（形如：192.168.0.1或server或server.mcse.com）或网上邻居去访问网络共享时，是客户机以任意端口去连服务器的默认tcp:139或tcp:445口，注意这里是“或”，已在2000计算机中实验证明。

　　（3）（4）

　　4、输入还是输出筛选器，是指经过具体网卡，是进入还是离开RRAS这台计算机的而言的。以B网段客户机B1以任意端口去连A网段WEB-A服务器的默认80口为例，筛选器应做如下配置。说明：端口不配或配置为0表示任意端口。

　　（1）网卡b上，输入筛选器。源：B，端口：0；目标A端口：80；

　　A网段用户能访问WEB-B服务器，B网段用户不能访问WEB-A服务器。

　　原理：配置好RRAS后，Ａ到Ｂ，B到A，就都是通的。关键要把Ｂ到Ａ的WEB-A设成不通。将前述4步，任意一步阻断，就可实现。也就是说有4种方法，理论上讲在（1）上设效果最优，但实际上差别不大。

　　7、ICMP协议是ping命令的应答所依赖的协议，它的协议号为3。如果不想应别ping你的计算机，可以在RRAS筛选器中禁用它。直接指明ICMP，或协议选其它，协议号上输入：3，这两种方法都可以。注意：ICMP代码和类型是不选或255表示：任何。

　　8、在网上邻居/属性/本地连接/属性：TCP/IP―高级―选项―TCP/IP筛选，相当于一个简单的输出筛选器。实验中发现基于它的第三项IP协议号来ping无效，怎么设都能ping通。但TCP/IP筛选在2000P/XP上非常有用，因为在2000P/XP上是不能安装RRAS的

　　邮件新闻资讯:

　　移动电邮

　　网络安全

　　行业法规

　　网络技术:

　　传输介质

　　网络与服务器硬件

　　操作系统:

　　其它操作系统

　　邮件服务器:

　　其它

　　反垃圾邮件:

　　服务器端反垃圾邮件

　　邮件客户端软件:

　　其它

　　移动电子邮件:技术前沿

　　邮件网络安全:

　　防火墙

　　数字签名

　　邮件营销:

　　营销案例

　　邮件人才:职场

　　解决方案:

　　招标

　　产品评测:

　　客户端