摘要:IP 分享器
以下來自 https://www.cert.org.tw/document/column/show.php?key=89
介紹 IP 分享器之選用及設定,相當優的文章喔。
家用網路安全防護
五年前的台灣,撥接上網是每個家庭的主要上網方式,而且費用也不便宜,因此為了
讓家中所有電腦上網,使用數據機與集線器的確有其必要。隨著時空環境變遷,今天寬頻
網路已相當地普及與發達,家用網路設備的價格也很合理。從今日的角度來看,ADSL 費用
已相當便宜,同時 IP 分享器的品牌眾多、價格低廉,消費者有許多的選擇,而且不少家
的 ISP 業者也提供了單一帳號,能同時多台機器上網的服務。如果您希望家中所有的電腦
都能分享頻寬來上網,使用寬頻網路 (ADSL、Cable) 與 IP 分享器,會是一般家用網路最
好的選擇。若還是想直接以 Hub 連線進行分享的話,好處就只是簡單,缺點則是缺乏彈性
。因為連線電腦的上限被限制在 ISP 所提供的連線數。而設計良好的 IP 分享器只要前端
插上 ADSL 或 CableModem,不管後面的電腦有幾台,只要插上 IP 分享器即可輕鬆上網。
IP 分享器的功能和集線器 (HUB) 類似,但是 IP 分享器主要多了簡單處理器,主要
處理撥號 (PPPoE) 及接通 internet 等功能,並具備有 DHCP Server(動態 IP 指派功能)
,可使多台 PC 分享同一個 IP。例如:中華電信的 ADSL 一次只能讓八部電腦同時上網,
如果安裝集線器就只有八部電腦可以同時上網,但是若安裝了 IP 分享器,理論上就可以
讓 254 部電腦同時上網了。其實 IP 分享器的功能有點像是 NAT 主機,現在的 IP 分享
器不但提供 Web 的管理界面,具備 DHCP 的功能,同時也提供 Hub (或是Switch) 的連接
孔,所以一台 IP 分享器就可解決您上網需求的需要;而要架設區域內的主機時,可以透
過 IP 分享器的通訊埠對應設定將某些服務封包轉送到你的區域網路內,也就是說,使用
了 IP 分享器後,區域內的電腦全部的 IP 都是虛擬 IP,但是卻可以透過 IP 分享器的通
訊埠對應讓虛擬 IP 的電腦也可以架站,並且與 Internet 相連接。
不過選擇 IP 分享器也是件令人頭疼的事情,為了確保家用網路的安全性,通常建議
購買具有防火牆功能、能做到上網管制與頻寬管理,甚至可畫出即時網路流量圖,只不過
要一應俱全的話通常也是較高階的 IP 分享器,那麼價格可能就稍嫌偏高。另外,家中網
路接上 IP 分享器後也常常聽到什麼網路遊戲不能玩、MSN不能傳檔等等的問題,這些往
往都是設計不良的IP分享器造成的後遺症,而且 IP 分享器幾乎不能升級,如果功能不足
不合用的話,就只好換買另一台來『付費』升級;或是因為網路越來越快,便宜的 IP 分
享器由於硬體效能不足 (往往處理器速度不到 100 mhz),將會造成連線速度降低。因此
本文接著將整理出一些常見的問題並能提供相對的解決辦法,最後再介紹以軟體來模擬
IP 分享器的方法。
Q1: 二台電腦間的聯繫透過 IP 分享器,桌面也有設捷徑,但每隔三~四個月區域網路設定
就會遺失,顯示沒有使用這個網路資源的權限或顯示找不到路徑。
A1: 因為 IP 分享器是透過 DHCP 分配 IP,所以只要把兩台 IP 設定成靜態 IP 即可。
Q2: 請問使用 IP 分享器後,在區域內部用 MSN 的網路攝影機可互相看到對方,但對外時
就不行了,請問在防火牆設定應該開那些通訊埠?
A2: 請用 dmz 對應設定,將外部真實 ip 對應至您的 pc 端虛擬 ip 位址。
MSN Messenger使用的埠號如下:
1.訊息傳送使用 TCP 1863
2.檔案傳送 TCP 6891-6900 (其實開一個就可以傳檔了,開十個最多一次可以同時傳十個
檔案,因為每個檔案傳送走的是通訊埠獨立的)
3.語音傳輸 TCP 跟 UDP 6901
Q3: 若已將 IP 分享器的 UPNP 開啟,但在 MSN 中仍顯示,目前是透過非 UPNP 防火牆連
線至網際網路。
A3: 若電腦有安裝私人的防火牆,請與電腦的製造廠商確認防火牆與 UPnP 相容。若是
MSN 語音/傳檔支援,要 Firewall/NAT 支援 Universal Plug & Play,Microsoft 線上說
明提到,目前支援的分享器都是透過這方式,所以請向廠商確認有無更新的韌體!不然就
只能用 DMZ 的方式,因為位處 IP 分享器之後上網的電腦,已經算是躲在防火牆之後了,
所以 MSN 自然無法直接與外接傳檔及語音,這需要利用 H.323 來克服,換用目前較新的
LINUX BASE 的 IP 分享器。缺點是只有被設定的那台可以正常傳檔、語音。
Q4: 希望能在 IP 分享器下 eMule、eDonkey 拿到高 ID 的方法。
A4: 方法 1.DMZ 設定--直接從 IP 分享器設定 DMZ,也就是把實體 IP 對應到虛擬IP。但
是 DMZ 一但指定到電腦,分享器的防火牆功能也就失效了,所以通常建議最好裝了防火牆
軟體再做指定的動作。裝了防火牆軟體之後,還要記得打開 Port TCP 4662 跟 UDP 4672。
(如果是 eDonkey 的話, 就是 Port TCP 4661,4662 跟 UDP 4665)
方法 2.虛擬伺服器設定--如果電腦是桌上型的,且常年躲在 IP 分享器的防火牆下,就可
以直接以虛擬伺服器的方式來打開指定的通訊埠即可。(開放的通訊埠請參考方法 1 的防
火牆部份)。如果家裡電腦很多,而且 IP 是由 DHCP 動態分配的話,可能在下次連線時
IP 就不一樣了。這時變成每次都要再重設一次,這時可以在 Windows 的網路連線中把 IP
設成和分享器裡設定的虛擬 IP 相同。
Q5: 家中電腦有在使用 BT,常常上網上到一半就無法開啟任何連線,而且也無法登入 IP
分享器。另外,如何在使用 BT下增加下載速度。
A5: BT 會瞬間產生大量的 session,session 數過高確實有可能造成設備異常,這是一般
家用型 NAT 的硬體先天上限制,若有此需求可以考慮更高階的機種。至於要增加 BT下載
速度請使用 DMZ 的功能,首先將電腦 IP 手動指定,再將 DMZ 對應到電腦 IP 位址即可。
Q6: UNIX 下解決 IP 分享器架設 VSFTP 的連線逾時 (Timeout) 的情形。
A6: 如果 FTP Server 在 IP 分享器後面,在本地端的網域不會出問題,但是外面的 FTP
Client 連進來非常容易出現 Connection Timeout 的狀況。這時有二種選擇,一種是強迫
FTP Client 使用 PORT 連線,也就是關閉 PASV。這時就必須設定 FTP Server 了。若是
Proftp 在 PASV 無法連線時會自己轉成 PORT 模式,所以比較不會有問題。vsftp 則必須
設定 vsftpd.conf 的 pasv_enable=NO 。如果選擇第二種方式開啟 PASV,vsftpd.conf
也必須做設定。
pasv_enable=YES
pasv_min_port=65400
pasv_max_port=65410
以上範例是開啟 65400~65410 Port 給 PASV 使用。
需要注意的是 pasv_min_port 跟 pasv_max_port 這二個必須在有設定 pasv_enable=YES
的情況下才會生效。也就是在 vsftpd.conf 內沒有 pasv_enable=YES 這一行的話,會出
現 OOPS 的參數無效錯誤。
如果還是一直 Timeout ,就必須要確定以下三項
1. 分享器跟 Server 的對應是不是用 DMZ? 如果不是的話,必須把 65400~65410 轉到
vsftp 的那台機器上。
2. 分享器上防火牆是不是有開啟? 是不是擋住了 65400~65410 ?
3. Linux 上的防火牆是不是有開啟? 若有的話用以下的指令:
iptables -I INPUT -p tcp --dport 65400:65410 -j accept
總之,如果 vsftp 是架設在 IP 分享器後面,不論用不用 PASV 都必需作設定,不然
會一直發生 Timeout 的狀況,相信上面的設定可以解決大多數人的困擾。
如果不想使用 IP 分享器來連線分享頻寬的話,也可以使用一些連線分享的軟體來達
成頻寬分享的目的。使用軟體可以模擬出性能強、功能多、符合各種需求的夢幻 IP 分享
器,而且還很便宜。它一樣可以具有防火牆功能,防火牆規則可同時綁定 IP 位址和網卡
MAC 位址,並設置有效期限;還可透過 HTTP 代理(squid) 限制網站瀏覽,支援透明代理
;限制內部電腦的對外連線、限制電腦上網時間、只連線到指定的主機和埠,甚至於虛擬
服務可支援映射回流,使網內電腦可透過對外 IP 位址連到網內伺服器。相對於 IP 分享
器的升級困難,軟體更新相當地方便,隨著寬頻網路的發展變化,可隨時下載新版的軟體
,配合電腦的硬體配置和網路連接協定,不斷加強功能提高效能。以下為兩者的比較:
比較項目:軟體 / 一般 IP 分享器
硬體性能與升級性:可升級,可依需求增加硬體 / 性能有限,無法升級硬體
軟體升級:可線上下載資料增加新功能 / 可升級韌體,但多為 Bug 修正功能無法增加
設定介面:可支援多種語言 / 大部分皆為英文設定
連線方式:PPOE/DHCP/靜態IP PPOE/DHCP/靜態IP
DHCP 伺服器:有 / 有
虛擬服務 (架站需要):有 /有
防火牆功能:有 大部分有
上網管制:有 / 較高階機型才有
頻寬管理:有 / 少數較高階機型才有
即時網絡流量圖:有 / 需另外安裝軟體,機器不內建
列印服務:有,支援 LPP / USB / 部分才有,大部分僅支援 LPT極少數才有支援 USB
雖然這個是最便宜的方式,而且也不需要更新您的系統,但由於這個方法是使用軟體
來控制硬體,所以當做為主機的 PC 有問題時,可能會造成相當大的困擾。再者,由於是
軟體來控制硬體,基本上在傳輸速率方面,可能作為用戶端的電腦會有較慢的情況發生。
家用網路的安全除了依靠最基本的 IP 分享器來防護,更決定於使用者的態度,許多
人並沒有網路安全的危機意識,如果是使用微軟的作業系統,請養成固定用 windows
update 更新安全修補程式的習慣,並安裝防毒軟體,定期更新病毒檔並全掃描。一但家
中電腦接上網路就充滿了危險,沒發生問題並不表示沒問題,可行的解決辦法是購買具有
防火牆功能的家用 IP 分享器,或是打開 windows XP 內建的防火牆功能,擋掉一堆不該
來的東西,甚至定期使用防間諜軟體掃一下電腦。因為現今的網路攻擊已不限於癱瘓電腦
而已,種木馬或後門程式在電腦裡,把受害主機當做跳板或攻擊源,而且完全不會影響電
腦的運作,目的只在竊取資料或當攻擊跳板,所以防毒軟體要裝,個人防火牆更是要裝,
這些才是正確的態度。