【发布时间】:2024-01-06 02:01:01
【问题描述】:
我正在使用 IPsec 来阻止所有协议流量,并允许一些端口。 我想在阻止所有其他流量的同时允许 Web 浏览。 我尝试添加规则以允许通过 UDP 和 TCP 协议将 80 端口、53 端口作为源端口和目标端口,但仍然在浏览器中出现 DNS 错误。 请问您能帮帮我吗?
【问题讨论】:
-
IPSec 用于保护网络流量,而不是阻止它。
【发布时间】:2024-01-06 02:01:01
【问题描述】:
我不知道 IPsec,但通常你不能限制源端口。源端口是随机的,不太可能是 53 或 80。您应该只限制目标端口(80、53)。
【讨论】:
-
我正在阻止所有 TCP 和 UPD 流量,现在我需要一个规则来允许用于 Web 浏览的端口,例如 DNS 端口 53,http 端口 80。但仍然无法浏览网络。
-
@user2143947 - 您添加了允许从任何源端口访问目标端口 53 和 80 的规则?
-
是的,允许从任何源端口访问 53 和 80 端口的规则,也允许从 53 和 80 源端口访问任何目标端口的规则。
-
@user2143947 - 请注意不要允许来自端口 53 和 80 的任意传入连接。任何传入的流量都应与之前到这些端口的传出连接相关联。至于为什么您仍然看到连接问题,我不确定。
IPSec 的工作方式是所有“阻止”规则优先于“允许”规则。如果我们忽略了您没有使用推荐的方法来做您想做的事情这一事实,那么您没有正确配置 IPSec。
不幸的是,使用这种方法会很糟糕,因为您必须配置过滤器来阻止除 HTTP 之外的所有内容,并且无法指定“除某些内容之外的所有内容”。几周前我曾短暂地走这条路,犯了同样的错误,并中止了整个计划!
我知道这是一个老问题,但最好按照您找到的解决方案跟进。
【讨论】: