① 怎么用用域名解析进行远程桌面连接控制
1、下载花生壳软件
2、申请护照
3、申请域名
4、在网页上激活域名
5、开始--运行--cmd--ping 域名 或者等一会
6、远程桌面--域名--登陆
以后开机自动运行花生壳,不用用ip远程控制了
内网的话在路由器上作个映射
如何利用花生壳,来访问使用动态IP的终端服务器?
现在绝大部分网友,都是通过电信ADSL来上网的,每次上网以后,IP地址都会发生变化,用终端服务的客户端程序进行连接很不方便。不过不要紧,我们可以使用“花生壳”这个软件来实现用域名来连接终端服务器。
1.) 下载安装花生壳的客户端。然后运行花生壳软件,点击“注册花生护照”,根据弹出注册护照窗口提示进行注册。注册花生护照完成后,使用所注册的护照名称和密码填入花生壳软件中进行登陆。
2).右击“免费域名”,来注册一个免费域名。这样以后不管上网后的IP地址怎么变化,只要记住该域名就可以连接终端服务器了,方便极了。
3). 根据提示激活上一步所申请的免费域名花生壳动态DNS服务。当激活了域名以后时候,花生壳软件已经在线了。我们所申请的免费域名已经绑定到当前的公网IP地址,互联网可通过所申请的域名直接访问到当前的公网IP了。
4).在XP和Win2003系统环境已经自带了远程终端服务客户端工具,运行开始菜单,选择“程序”->“通讯”->“远程桌面连接”(在Win2003下可通过开始-运行-Tsmmc.msc调出远程桌面管理,这个工具以远程桌面功能为优先级,如果电脑上没有开启远程桌面服务,那么会直接连接到终端服务。远程桌面和终端服务有什么区别?Google一下吧。),输入所申请的花生壳域名,按“连接”按钮,就会出现Windows的登陆画面,这时候用ricky账户进行登陆就可以了,如下图。(如果我们所在的计算机上没有安装客户端程序,我们只需要到网上以“终端服务登陆器”搜索一下,就可以下载到客户端,一般大小只有几百K。)
登陆终端服务器以后,我们的一切操作都跟自己在远程计算机面前是一样的,下图是在公司通过终端服务客户端连接到家里面上网,聊QQ等等的画面,完全突破了公司网管的种种限制了,要是给他看到一定气死他,呵呵。
有的朋友会担心,万一网管把连接外部的3389端口封闭掉怎么办呀?没关系,我们修改一下终端服务使用的端口,用其它端口代替就可以了。
在服务器端选择开始菜单的“运行”,输入“regedit”,(1)找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp,看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如8888之类的,只要不与其它系统已有的服务端口冲突即可。(2)接着继续找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。当然,修改完毕别忘了重启一下。
2.最后我们要修改客户端程序的连接端口,运行“远程桌面连接”,点击“选项”,再点击下面的“另存为”按钮,将配置文件保存下来,默认的文件名是“default.rdp”。然后用记事本打开这个文件,假定现在服务器端的端口已经改为8888,那么我们只需要在文件里面加上一句“server port:i:8888”。保存退出后,按“打开”按钮来打开我们刚刚保存的配置文件,就可以新的设置来连接终端服务器了。
怎么样,是不是觉得很神奇呢?当然,Windows 2003自带的服务还有更多呢,花生壳的用途不仅仅在此,我们甚至可以利用它搭建私人的FTP服务器,又或者用自己的电脑做成网站服务器(连买空间和域名的费用的都省了)。甚至用来做网络游戏的私服都可以,不过,可别被网络警察叔叔抓到了,那可是要打PP的
② ip标准访问控制列表和扩展访问控制列表有什么区别
标准访问列表和扩展访问列表相较,标准的只能针对IP地址做限制扩展的可以对协议对端口做限制。
标准访问列表是基于源地址,允许和拒绝完整的TCP/IP协议;编号范围1-99和1300-1999。
扩展访问列表是基于源地址和目标地址,指定TCP/IP的特定协议和端口;编号范围100-199和2000-2699。
③ 访问控制列表的作用和组成是什么
标准和扩展标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号作用:控制流量对网络统一管理流量允许、拒绝用 标准ACL对单以服务或协议控制允许、拒绝用 扩展ACL。
④ 网络方面的求助!
可以,方法1:封锁BT端口
大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行.对BT软件,我们可以尝试封它的端口.一般情况下,BT软件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令将6880-6890端口全部封锁.
access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890
access-list 101 permit ip any any
接着进入相应的端口,输入ip access-group 101 out 使访问控制列表生效.配置之后,网络带宽就会马上释放出来,网络速度得到提升.
但是,没过几天网络速度又减慢了,BT软件的端口明明被封了,什么软件还在占用大量的带宽呢,小金使用SNIFFER检测到几个不常用的端口的数据流量非常大,原来很多人使用第三方的BT软件(如比特精灵,BITCOMET)进行下载,这些软件可以自定义 传输数据的端口,修改为没有被封的端口后又可以进行BT下载了.
(注:缺点,由于BT端口变化较大,所以用ACL封端口收效甚微,而且配置条数多执行起来比较费劲,另外大量的ACL也占用了路由器的CPU资源,影响了其它服务
优点:利用访问控制列表ACL封锁BT比较好管理,配置起来也很容易,使用相对而言比较灵活.通过ACL可以有效非常有效封锁官方BT软件)
方法2:封锁BT服务器
既然无法有效的从本地端口进行封锁,那么只好从远程目标的地址入手.在进行BT下载时,本机首先要连接远端的BT服务器,从服务器下载种子列表再连接相应的种子,所以小金从各大BT论坛下载BT种子,以便获得BT服务器的地址.启动BITCOMET后选择 服务器列表,在TRACKER服务器处可以看到BT服务器的地址,如(bt.ydy.com)接着通过NUSLOOKUP或者PING命令可以得到服务器地址为202.103.X.X
获得服务器地址后就可以到核心服务器上对该地址进行封锁.具体命令为:access-list 102 deny tcp any 202.103.9.83 0.0.0.0
最后小金在网络出口端口上运行ip access-group 102 out 命令后,使该访问控制列表生效,这样网内用户就不能访问这个BT服务器了,同时该服务器提供的所有BT种子都无法使用,接下来,收信更多的的BT服务器的IP地址,将它们一一添加到控制列表102里,看着员工启动第三方的BT软件后连接种子数为0,下载速 度也为0的时候,终于松了一口气.
没过多久,公司再次出现网络运行缓慢的问题,小金通过监控系统发现又有人通过BITCOMET下载电影,虽然速度不如从前,但仍占用了相当大的带宽,是什么原因使用户又可以连接BT服务器呢,原来,在访问列表中使用的IP地址进行过滤,而一旦BT服务器的 IP地址发生了变化,针对IP地址的封锁就没有用了
(缺点:BT服务器很多,要找到每个服务器的IP地址然后进行封锁非常麻烦,而且也容易漏掉某些服务器,访问控制列表只能封锁IP地址不能封锁域名,对于IP地址经常变化的BT服务器来说,封锁是比较烦的.
优点:该方法能有效的封锁大批的BT服务器,网管通过简单的管理服务器IP地址就能封锁禁止BT软件的使用,对于自定义端口的BT软件起到了非常有效的封锁作用)
方法3:加载PDLM模块
使用CISCO公司出品的PDLM模块可以省去我们配置路由策略的工作,封锁效果非常好.上文介绍的两种方法.一个是对数据包使用的端口进行封锁,一个是对数据包的目的地址进行封锁,虽然在一定范围内有效,但不能起到全面禁止BT的作用,通过PDLM+N BAR的方法来封锁BT就存在这个问题了.
CISCO在其官方网站提供了三个PDLM模块,分别为KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用来封锁KAZAA,BT,电驴,在此我们就封锁BT下载为例,
建立一个TFTP站点,将bittorrent.pdlm复制到该站点,在核心路由器中使用ip nbar pdlm tftp://TFTP站点的IP/bittorrent.pdlm命令加载bittorrent.pdlm模块
接下来设置路器策略,具体命令如下:
class-map match-any bit
//创建一个CLASS_MAP名为BIT
match protocol bittorrent
//要求符合模块bittorrent的标准!
policy-map limit-bit
//创建一个POLICY-MAP名为LIMIT-BIT
class bit
//要求符合刚才定义的名为BIT的CLASS-MAP
drop
//如果符合则丢数据包!
interface gigabitEthernet0/2
//进入网络出口那个接口
service-policy input limit-bit
//当有数据包进入时启用LIMIT-BIT路由策略
service-policy output limit-bit
//当有数据包出的时候启用LIMIT-BIT路由策略
如果不想每次启动路由器的都要手工加载TFTP上的bittorrent.pdlm,可以把这个PDLM文件上传到路由器的FLASH中,然后选择TFTP服务器的IP地址即可.提示:封锁KAZAA或者是EDonKEY时,在路由器配置中将"match protocol后的bittorrent替换为KAZAA2或者EDonKEY即可,其它配置和封锁BT一样,通过NBAR加载PDLM模块法封锁BT软件后,小金已经完全断绝了公司内部的的BT使用,所有员工都能安心工作,网络速度也恢复到以前的稳定值了.
(缺点:该方法配置起来相对麻烦,指令非常多,而且路由器每次启动都要重新指定PDLM文件,如果将PDLM文件上传到路由器的FLASH中又会占用不少空间,通过路由策略进行封锁BT软件的同时也会占用路由器大量的CPU与内存的资源,影响了数据包的传输速度.
优点:通过该方法可以彻底封锁BT下载)
⑤ 阿里云带有公网IP的服务器如何做域名访问控制
这种情况,需要借助软件了,比如花生壳,但是不是免费的,如果是用的他们的域名是免费的,你自己的,需要设置很多东西。
⑥ 天融信防火墙 访问控制用域名做行不行
1. 防火墙一般作为出口设备(路由部署),很少会涉及VLAN,VLAN 学习主要是在二三层交换里面涉及到的,防火墙一般有两种部署方式,透明或者路由,路由部署的话和VLAN没关系,如果是透明部署的话有可能会存在基于VLAN的透明,只是决定于透传那些VLAN,但和VLAN的学习没有关系。
2. 其次,学习配置一般是在双机热备涉及到的,而双机热备一般要求硬件和软件都相同,防火墙和交换机没人用来做HA,而且一般来说访问控制列表都是本地有效的,用于控制穿越本台设备的数据流。
3. 防火墙的基本功能无非就是包过滤、状态监测和地址转换。防火墙的原理基本上是通用的,我说的是整体,天融信也应该是如此。