抓到了包，但是看不出所以来，请帮忙分析

xmubbs

发现该机和116.22.166.183的连接过多，但是首先查不出这个IP是干吗的，其次也不知道这些连接是在干什么，请指教！！！

oldjiang

是怎么抓的包？用ARP欺骗？

参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52287，找出192.168.0.7:7777是什么进程

xmubbs

我在ISA上部署的科来，怀疑客户机有非法流量，看来一定要到客户机上去查咯？

oldjiang

116是外网卡IP，192是内网IP，那10的IP是什么呢？有三层交换机？

xmubbs

去用户机器上查了，是迅雷

不过查这个东西实在不是很喜欢上客户机上折腾，因为你一过去，他就知道你在查他了

科来什么时候支持迅雷的协议？呵呵

xmubbs

原帖由 oldjiang 于 2008-11-5 10:33 发表
116是外网卡IP，192是内网IP，那10的IP是什么呢？有三层交换机？

10是外网卡IP， 外网卡接一个TPLINK的路由，所以实际上内网是过了2次NAT

xmubbs

补充一下，实际上是单网卡双IP，外网IP 10，内网IP 192

oldjiang

还可以这样做，学习了
路由和ISA都接交换机上？

xmubbs

原帖由 oldjiang 于 2008-11-5 11:06 发表
还可以这样做，学习了
路由和ISA都接交换机上？

是的，路由TP和ISA都接在交换机上，但是IP段不同，路由是10段，ISA外口10段，内口192段

TP上可以设置IP过滤，防止PC改成10段后可以上网

很丑的图，勿笑

oldjiang

“TP上设置IP过滤”，能否讲一下？

xmubbs

原帖由 oldjiang 于 2008-11-5 11:17 发表
“TP上设置IP过滤”，能否讲一下？

TPLINK上有这个功能，可以指定某个IP或IP段的可以通过或者限制通过，现在不在办公室，无法截图

这功能简单，登陆上去一看就明白了

oldjiang

只允许10.10.10.10通过？
类似于防火墙的功能

[ 本帖最后由 oldjiang 于 2008-11-5 11:37 编辑 ]

xmubbs

原帖由 oldjiang 于 2008-11-5 11:36 发表
只允许10.10.10.10通过？
类似于防火墙的功能

对头！！！！！过滤本身就是TP火墙的功能之一

xmubbs

图。。。。。。。。。。。。。。。。。。。。。。。。

royallin

为什么还接路由。。。
直接在ISA上拨号不就行了。。。。

oldjiang

有备份作用吧，万一ISA坏了呢

xmubbs

我是没见谁敢吧ISA直接放在公网上的

如果放上去,规则就要做得很细,这不是自己给自己找抽嘛......

royallin

坏了再接路由呀，难道是固定IP？刚好有个路由

royallin

原帖由 xmubbs 于 2008-11-5 17:26 发表
我是没见谁敢吧ISA直接放在公网上的

如果放上去,规则就要做得很细,这不是自己给自己找抽嘛......

晕。不是吧。我就直接把ISA放在公网上。。。。
你只写几条开放要用得到的端口规则就行了呀。
放在公网怕什么呢

只是一个神话

ISA就是一防火墙，在没有IDS的情况下，防火墙当然要直连外网，只是实际操作中存在很多问题，比如规则限制不全啊，随便找台机器冲当服务器啊。。。这些情况在没有攻击的环境下运行是没问题的，有人恶意攻击就拜拜了。

LZ的网络规则应该做的不错的，只是如果能把客户机和路由器隔离起来就好了，不然还是存在安全隐患的。