IP 分享器

2008-04-29

37925
0
電腦硬體

摘要:IP 分享器

以下來自 https://www.cert.org.tw/document/column/show.php?key=89
介紹 IP 分享器之選用及設定，相當優的文章喔。

家用網路安全防護
　　五年前的台灣，撥接上網是每個家庭的主要上網方式，而且費用也不便宜，因此為了
讓家中所有電腦上網，使用數據機與集線器的確有其必要。隨著時空環境變遷，今天寬頻
網路已相當地普及與發達，家用網路設備的價格也很合理。從今日的角度來看，ADSL 費用
已相當便宜，同時 IP 分享器的品牌眾多、價格低廉，消費者有許多的選擇，而且不少家
的 ISP 業者也提供了單一帳號，能同時多台機器上網的服務。如果您希望家中所有的電腦
都能分享頻寬來上網，使用寬頻網路 (ADSL、Cable) 與 IP 分享器，會是一般家用網路最
好的選擇。若還是想直接以 Hub 連線進行分享的話，好處就只是簡單，缺點則是缺乏彈性
。因為連線電腦的上限被限制在 ISP 所提供的連線數。而設計良好的 IP 分享器只要前端
插上 ADSL 或 CableModem，不管後面的電腦有幾台，只要插上 IP 分享器即可輕鬆上網。

　　IP 分享器的功能和集線器 (HUB) 類似，但是 IP 分享器主要多了簡單處理器，主要
處理撥號 (PPPoE) 及接通 internet 等功能，並具備有 DHCP Server(動態 IP 指派功能)
，可使多台 PC 分享同一個 IP。例如：中華電信的 ADSL 一次只能讓八部電腦同時上網，
如果安裝集線器就只有八部電腦可以同時上網，但是若安裝了 IP 分享器，理論上就可以
讓 254 部電腦同時上網了。其實 IP 分享器的功能有點像是 NAT 主機，現在的 IP 分享
器不但提供 Web 的管理界面，具備 DHCP 的功能，同時也提供 Hub (或是Switch) 的連接
孔，所以一台 IP 分享器就可解決您上網需求的需要；而要架設區域內的主機時，可以透
過 IP 分享器的通訊埠對應設定將某些服務封包轉送到你的區域網路內，也就是說，使用
了 IP 分享器後，區域內的電腦全部的 IP 都是虛擬 IP，但是卻可以透過 IP 分享器的通
訊埠對應讓虛擬 IP 的電腦也可以架站，並且與 Internet 相連接。

　　不過選擇 IP 分享器也是件令人頭疼的事情，為了確保家用網路的安全性，通常建議
購買具有防火牆功能、能做到上網管制與頻寬管理，甚至可畫出即時網路流量圖，只不過
要一應俱全的話通常也是較高階的 IP 分享器，那麼價格可能就稍嫌偏高。另外，家中網
路接上 IP 分享器後也常常聽到什麼網路遊戲不能玩、MSN不能傳檔等等的問題，這些往
往都是設計不良的IP分享器造成的後遺症，而且 IP 分享器幾乎不能升級，如果功能不足
不合用的話，就只好換買另一台來『付費』升級；或是因為網路越來越快，便宜的 IP 分
享器由於硬體效能不足 (往往處理器速度不到 100 mhz)，將會造成連線速度降低。因此
本文接著將整理出一些常見的問題並能提供相對的解決辦法，最後再介紹以軟體來模擬
IP 分享器的方法。

Q1: 二台電腦間的聯繫透過 IP 分享器，桌面也有設捷徑，但每隔三~四個月區域網路設定
就會遺失，顯示沒有使用這個網路資源的權限或顯示找不到路徑。

A1: 因為 IP 分享器是透過 DHCP 分配 IP，所以只要把兩台 IP 設定成靜態 IP 即可。

Q2: 請問使用 IP 分享器後，在區域內部用 MSN 的網路攝影機可互相看到對方，但對外時
就不行了，請問在防火牆設定應該開那些通訊埠?

A2: 請用 dmz 對應設定，將外部真實 ip 對應至您的 pc 端虛擬 ip 位址。
MSN Messenger使用的埠號如下:
1.訊息傳送使用 TCP 1863
2.檔案傳送 TCP 6891-6900 (其實開一個就可以傳檔了，開十個最多一次可以同時傳十個
檔案，因為每個檔案傳送走的是通訊埠獨立的)
3.語音傳輸 TCP 跟 UDP 6901

Q3: 若已將 IP 分享器的 UPNP 開啟，但在 MSN 中仍顯示，目前是透過非 UPNP 防火牆連
線至網際網路。

A3: 若電腦有安裝私人的防火牆，請與電腦的製造廠商確認防火牆與 UPnP 相容。若是
MSN 語音/傳檔支援，要 Firewall/NAT 支援 Universal Plug & Play，Microsoft 線上說
明提到，目前支援的分享器都是透過這方式，所以請向廠商確認有無更新的韌體！不然就
只能用 DMZ 的方式，因為位處 IP 分享器之後上網的電腦，已經算是躲在防火牆之後了，
所以 MSN 自然無法直接與外接傳檔及語音，這需要利用 H.323 來克服，換用目前較新的
LINUX BASE 的 IP 分享器。缺點是只有被設定的那台可以正常傳檔、語音。

Q4: 希望能在 IP 分享器下 eMule、eDonkey 拿到高 ID 的方法。

A4: 方法 1.DMZ 設定--直接從 IP 分享器設定 DMZ，也就是把實體 IP 對應到虛擬IP。但
是 DMZ 一但指定到電腦，分享器的防火牆功能也就失效了，所以通常建議最好裝了防火牆
軟體再做指定的動作。裝了防火牆軟體之後，還要記得打開 Port TCP 4662 跟 UDP 4672。
(如果是 eDonkey 的話，就是 Port TCP 4661,4662 跟 UDP 4665)
方法 2.虛擬伺服器設定--如果電腦是桌上型的，且常年躲在 IP 分享器的防火牆下，就可
以直接以虛擬伺服器的方式來打開指定的通訊埠即可。(開放的通訊埠請參考方法 1 的防
火牆部份)。如果家裡電腦很多，而且 IP 是由 DHCP 動態分配的話，可能在下次連線時
IP 就不一樣了。這時變成每次都要再重設一次，這時可以在 Windows 的網路連線中把 IP
設成和分享器裡設定的虛擬 IP 相同。

Q5: 家中電腦有在使用 BT，常常上網上到一半就無法開啟任何連線，而且也無法登入 IP
分享器。另外，如何在使用 BT下增加下載速度。

A5: BT 會瞬間產生大量的 session，session 數過高確實有可能造成設備異常，這是一般
家用型 NAT 的硬體先天上限制，若有此需求可以考慮更高階的機種。至於要增加 BT下載
速度請使用 DMZ 的功能，首先將電腦 IP 手動指定，再將 DMZ 對應到電腦 IP 位址即可。

Q6: UNIX 下解決 IP 分享器架設 VSFTP 的連線逾時 (Timeout) 的情形。

A6: 如果 FTP Server 在 IP 分享器後面，在本地端的網域不會出問題，但是外面的 FTP
Client 連進來非常容易出現 Connection Timeout 的狀況。這時有二種選擇，一種是強迫
FTP Client 使用 PORT 連線，也就是關閉 PASV。這時就必須設定 FTP Server 了。若是
Proftp 在 PASV 無法連線時會自己轉成 PORT 模式，所以比較不會有問題。vsftp 則必須
設定 vsftpd.conf 的 pasv_enable=NO 。如果選擇第二種方式開啟 PASV，vsftpd.conf
也必須做設定。

pasv_enable=YES
pasv_min_port=65400
pasv_max_port=65410
以上範例是開啟 65400~65410 Port 給 PASV 使用。

需要注意的是 pasv_min_port 跟 pasv_max_port 這二個必須在有設定 pasv_enable=YES
的情況下才會生效。也就是在 vsftpd.conf 內沒有 pasv_enable=YES 這一行的話，會出
現 OOPS 的參數無效錯誤。

如果還是一直 Timeout ，就必須要確定以下三項
1. 分享器跟 Server 的對應是不是用 DMZ? 如果不是的話，必須把 65400~65410 轉到
vsftp 的那台機器上。
2. 分享器上防火牆是不是有開啟? 是不是擋住了 65400~65410 ?
3. Linux 上的防火牆是不是有開啟? 若有的話用以下的指令:
iptables -I INPUT -p tcp --dport 65400:65410 -j accept

　　總之，如果 vsftp 是架設在 IP 分享器後面，不論用不用 PASV 都必需作設定，不然
會一直發生 Timeout 的狀況，相信上面的設定可以解決大多數人的困擾。

　　如果不想使用 IP 分享器來連線分享頻寬的話，也可以使用一些連線分享的軟體來達
成頻寬分享的目的。使用軟體可以模擬出性能強、功能多、符合各種需求的夢幻 IP 分享
器，而且還很便宜。它一樣可以具有防火牆功能，防火牆規則可同時綁定 IP 位址和網卡
MAC 位址，並設置有效期限；還可透過 HTTP 代理(squid) 限制網站瀏覽，支援透明代理
；限制內部電腦的對外連線、限制電腦上網時間、只連線到指定的主機和埠，甚至於虛擬
服務可支援映射回流，使網內電腦可透過對外 IP 位址連到網內伺服器。相對於 IP 分享
器的升級困難，軟體更新相當地方便，隨著寬頻網路的發展變化，可隨時下載新版的軟體
，配合電腦的硬體配置和網路連接協定，不斷加強功能提高效能。以下為兩者的比較：

比較項目：軟體 / 一般 IP 分享器
硬體性能與升級性：可升級，可依需求增加硬體 / 性能有限，無法升級硬體
軟體升級：可線上下載資料增加新功能 / 可升級韌體，但多為 Bug 修正功能無法增加
設定介面：可支援多種語言 / 大部分皆為英文設定
連線方式：PPOE/DHCP/靜態IP PPOE/DHCP/靜態IP
DHCP 伺服器：有 / 有
虛擬服務 (架站需要)：有 /有
防火牆功能：有大部分有
上網管制：有 / 較高階機型才有
頻寬管理：有 / 少數較高階機型才有
即時網絡流量圖：有 / 需另外安裝軟體，機器不內建
列印服務：有，支援 LPP / USB / 部分才有，大部分僅支援 LPT極少數才有支援 USB

　　雖然這個是最便宜的方式，而且也不需要更新您的系統，但由於這個方法是使用軟體
來控制硬體，所以當做為主機的 PC 有問題時，可能會造成相當大的困擾。再者，由於是
軟體來控制硬體，基本上在傳輸速率方面，可能作為用戶端的電腦會有較慢的情況發生。

　　家用網路的安全除了依靠最基本的 IP 分享器來防護，更決定於使用者的態度，許多
人並沒有網路安全的危機意識，如果是使用微軟的作業系統，請養成固定用 windows
update 更新安全修補程式的習慣，並安裝防毒軟體，定期更新病毒檔並全掃描。一但家
中電腦接上網路就充滿了危險，沒發生問題並不表示沒問題，可行的解決辦法是購買具有
防火牆功能的家用 IP 分享器，或是打開 windows XP 內建的防火牆功能，擋掉一堆不該
來的東西，甚至定期使用防間諜軟體掃一下電腦。因為現今的網路攻擊已不限於癱瘓電腦
而已，種木馬或後門程式在電腦裡，把受害主機當做跳板或攻擊源，而且完全不會影響電
腦的運作，目的只在竊取資料或當攻擊跳板，所以防毒軟體要裝，個人防火牆更是要裝，
這些才是正確的態度。

回首頁