CN112087534A - 一种简便可溯源无线路由器实现方法 - Google Patents
一种简便可溯源无线路由器实现方法 Download PDFInfo
- Publication number
- CN112087534A CN112087534A CN202010956976.1A CN202010956976A CN112087534A CN 112087534 A CN112087534 A CN 112087534A CN 202010956976 A CN202010956976 A CN 202010956976A CN 112087534 A CN112087534 A CN 112087534A
- Authority
- CN
- China
- Prior art keywords
- public network
- network
- port
- corresponding relation
- internal network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 238000013507 mapping Methods 0.000 claims description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/60—Router architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种简便可溯源无线路由器实现方法,基于使用linux内核的路由器,包括以下步骤:S1、建立内网ip与公网ip和端口块的对应关系表;S2、当用户通过手机或者电脑访问公网ip时,在公网ip端通过netstat–an获取连接端口信息,通过查询内网ip与公网ip和端口块的对应关系表,即可查找访问公网ip的内网ip,从而追踪到使用该手机或者电脑访问公网ip的用户。目前如果要进行ip溯源,需要增加日志服务器记录nat连接的对应关系,而且要保证时间同步准确,而本专利通过内网ip与公网的ip和端口号范围建立对应关系,溯源时只需要根据端口在哪个端口范围就可以找到对应的内网ip,实现ip的快速溯源。
Description
技术领域
本发明涉及数据通信技术领域,具体为一种简便可溯源无线路由器实现方法。
背景技术
网络安全形势日益严峻,IP溯源是安全事件处理的关键。通过无线路由器共享出口ip的方式因没有存储ip转换日志信息,导致溯源难,遇到安全事件只能逐台内网主机进行检查,难度大、效率低、溯源难。
通过对无线路由器功能的分析比较,目前无线路由器均没有发现有针对IP溯源的功能。为了实现无线路由器的溯源可以通过增加一个认证模块来实现,但需要增加额外复杂的认证和日志***。一般公共上网的出口无线路由器功能都是比较简单的,主要是路由转换功能,就是百来块的无线路由器,坏了直接换一个,如果还要维护复杂认证和日志***,工作量将增加不少;而且原来随便角落都可以放,如果增加认证和日志设备,还要为其提供放置位置和供电。
发明内容
针对上述存在的技术不足,本发明的目的是提供一种简便可溯源无线路由器实现方法,不增加设备的情况下,只需简单配置就能快速实现ip溯源。
为解决上述技术问题,本发明采用如下技术方案:
本发明提供一种简便可溯源无线路由器实现方法,基于使用linux内核的路由器,包括以下步骤:
S1、建立内网ip与公网ip和端口块的对应关系表:通过linux内置的iptables防火墙的POSTROUTING链实现内网ip和端口块的对应绑定关系,命令如下:iptables-t nat-APOSTROUTING-s内网ip-j SNAT-p tcp--to-source公网ip:映射开始端口-映射结束端口;TCP的端口范围为0-65535,扣除0-1023是***保留的端口外,其余端口可以作为随机端口使用。普通用户上网,同一时刻建立的连接数也就上百个,如果按每IP 1000个端口,近6万个端口可以支持60个ip的使用,可以根据内网实际的ip情况调整端口的分配,也可以针对访问量大的内网ip分配较多的端口;在dhcp设置模块中建立mac地址和内网ip的绑定关系,并在访问控制中设置能够接入的mac地址信息,杜绝非法mac地址接入;
S2、当用户通过手机或者电脑访问公网ip时,在公网ip端通过netstat–an获取连接端口信息,通过查询内网ip与公网ip和端口块的对应关系表,即可查找访问公网ip的内网ip,从而追踪到使用该手机或者电脑访问公网ip的用户。
本发明的有益效果在于:目前如果要进行ip溯源,需要增加日志服务器记录nat连接的对应关系,而且要保证时间同步准确,而本专利通过内网ip与公网的ip和端口号范围建立对应关系,溯源时只需要根据端口在哪个端口范围就可以找到对应的内网ip,实现ip的快速溯源。
具体实施方式
下面将结合本发明实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种简便可溯源无线路由器实现方法,包括以下步骤:
S1、建立内网ip与公网ip和端口块对应关系,见表1
表1:内网ip与公网ip和端口块对应关系
S2、通过张三通过的手机,李四通过电脑访问公网14.215.177.39时,在公网ip端获取通过netstat–an进行查看,可以得到如下信息:
| TCP | 120.1.1.1:2005 | 14.215.177.39.443 | ESTABLISHED |
| TCP | 120.1.1.1:2007 | 14.215.177.39.443 | ESTABLISHED |
| TCP | 120.1.1.1:2008 | 14.215.177.39.443 | ESTABLISHED |
| TCP | 120.1.1.1:2019 | 14.215.177.39.443 | ESTABLISHED |
| TCP | 120.1.1.1:3005 | 14.215.177.39.443 | ESTABLISHED |
| TCP | 120.1.1.1:3015 | 14.215.177.39.443 | ESTABLISHED |
如果提供公网ip:120.1.1.1的端口2007,通过查询对应表就可以知道这个是张三手机访问的,如果提供的公网ip:120.1.1.1对应的端口3005,则为李四的电脑访问的。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (1)
1.一种简便可溯源无线路由器实现方法,其特征在于,基于使用linux内核的路由器,包括以下步骤:
S1、建立内网ip与公网ip和端口块的对应关系表:通过linux内置的iptables防火墙的POSTROUTING链实现内网ip和端口块的对应绑定关系,命令如下:iptables-t nat-APOSTROUTING-s内网ip-j SNAT-p tcp--to-source公网ip:映射开始端口-映射结束端口;在dhcp设置模块中建立mac地址和内网ip的绑定关系,并在访问控制中设置能够接入的mac地址信息,杜绝非法mac地址接入;
S2、当用户通过手机或者电脑访问公网ip时,在公网ip端通过netstat–an获取连接端口信息,通过查询内网ip与公网ip和端口块的对应关系表,即可查找访问公网ip的内网ip,从而追踪到使用该手机或者电脑访问公网ip的用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010956976.1A CN112087534A (zh) | 2020-09-12 | 2020-09-12 | 一种简便可溯源无线路由器实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010956976.1A CN112087534A (zh) | 2020-09-12 | 2020-09-12 | 一种简便可溯源无线路由器实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112087534A true CN112087534A (zh) | 2020-12-15 |
Family
ID=73736952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010956976.1A Pending CN112087534A (zh) | 2020-09-12 | 2020-09-12 | 一种简便可溯源无线路由器实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112087534A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112261176A (zh) * | 2020-12-24 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络实际访问关系的获取方法及相关设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043356A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 防止mac地址欺骗的方法 |
| CN101098291A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
| CN101188558A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 访问控制方法、单元及网络设备 |
| CN102404415A (zh) * | 2010-09-08 | 2012-04-04 | 苏州彭华信息技术有限公司 | 内网设备服务寻址方法 |
| CN102404417A (zh) * | 2011-11-09 | 2012-04-04 | 深圳市共进电子股份有限公司 | 一种接入外网的方法及装置 |
| CN102769679A (zh) * | 2012-08-01 | 2012-11-07 | 深信服网络科技(深圳)有限公司 | Nat后的ip地址溯源方法及装置 |
| CN102957753A (zh) * | 2011-08-19 | 2013-03-06 | 中国电信股份有限公司 | 用于认证***的地址溯源方法和装置 |
| WO2015074324A1 (zh) * | 2013-11-22 | 2015-05-28 | 上海斐讯数据通信技术有限公司 | 一种数据包快速转发方法及装置 |
| CN105915470A (zh) * | 2016-01-27 | 2016-08-31 | 无锡华云数据技术服务有限公司 | 一种基于Linux流量控制的弹性带宽配置方法 |
| CN106713362A (zh) * | 2017-02-27 | 2017-05-24 | 深圳市携网科技有限公司 | 一种对wifi接入上网实现安全审查的方法 |
| CN106790764A (zh) * | 2017-01-24 | 2017-05-31 | 广州捷轻信息技术有限公司 | 一种基于外网端口定位内网ip地址的方法及*** |
-
2020
- 2020-09-12 CN CN202010956976.1A patent/CN112087534A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043356A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 防止mac地址欺骗的方法 |
| CN101098291A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
| CN101188558A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 访问控制方法、单元及网络设备 |
| CN102404415A (zh) * | 2010-09-08 | 2012-04-04 | 苏州彭华信息技术有限公司 | 内网设备服务寻址方法 |
| CN102957753A (zh) * | 2011-08-19 | 2013-03-06 | 中国电信股份有限公司 | 用于认证***的地址溯源方法和装置 |
| CN102404417A (zh) * | 2011-11-09 | 2012-04-04 | 深圳市共进电子股份有限公司 | 一种接入外网的方法及装置 |
| CN102769679A (zh) * | 2012-08-01 | 2012-11-07 | 深信服网络科技(深圳)有限公司 | Nat后的ip地址溯源方法及装置 |
| WO2015074324A1 (zh) * | 2013-11-22 | 2015-05-28 | 上海斐讯数据通信技术有限公司 | 一种数据包快速转发方法及装置 |
| CN105915470A (zh) * | 2016-01-27 | 2016-08-31 | 无锡华云数据技术服务有限公司 | 一种基于Linux流量控制的弹性带宽配置方法 |
| CN106790764A (zh) * | 2017-01-24 | 2017-05-31 | 广州捷轻信息技术有限公司 | 一种基于外网端口定位内网ip地址的方法及*** |
| CN106713362A (zh) * | 2017-02-27 | 2017-05-24 | 深圳市携网科技有限公司 | 一种对wifi接入上网实现安全审查的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112261176A (zh) * | 2020-12-24 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络实际访问关系的获取方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3171556B1 (en) | Method and apparatus for setting network rule entry | |
| CN101287017B (zh) | 主动式ip地址分配方法及*** | |
| GB2430849A (en) | IP Device Management Server and Network System | |
| CN106899612B (zh) | 一种自动检测假冒主机arp欺骗的方法 | |
| EP3461226B1 (en) | Home gateway and forwarding service method thereof | |
| AU2010262572B2 (en) | Internet access control apparatus, method and gateway thereof | |
| EA201401279A1 (ru) | Система для обеспечения доступа к услугам автономно работающих виртуальных машин с использованием того же сетевого адреса | |
| CN103780430A (zh) | 监控网络设备的方法和装置 | |
| RU2670789C2 (ru) | Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux | |
| CN112087534A (zh) | 一种简便可溯源无线路由器实现方法 | |
| CN105245473A (zh) | 基于交换机双重绑定的局域网终端准入控制方法 | |
| CN114025009B (zh) | 转发请求的方法、***、代理服务器和装置 | |
| CN102984202B (zh) | 一种穿越NAT设备实现Telnet网管的***与方法 | |
| US20090040944A1 (en) | Method and Bypass Device of Network-Based IP Allocation | |
| CN104333615A (zh) | 一种地址溯源方法及装置 | |
| CN1859384B (zh) | 控制用户报文通过网络隔离设备的方法 | |
| CN109167759B (zh) | 一种手机号码获取方法和装置 | |
| KR102582837B1 (ko) | 파밍 dns 분석 방법 및 컴퓨팅 디바이스 | |
| CN201199702Y (zh) | 主动式ip地址分配装置 | |
| CN201976140U (zh) | 思科环境下的网络准入控制*** | |
| CN110868450B (zh) | 双机房多入口会话保持方法、***、装置及存储介质 | |
| CA2983742A1 (en) | Method of securing connected devices on a network | |
| CRISTESCU et al. | Simulating the Dynamic Assignment of IPv4 Addresses in an AAA-RADIUS Solution Based on LDAP and Legacy Authentication Protocols | |
| CN104753867A (zh) | 一种网络数据访问方法、设备及*** | |
| CN112261660B (zh) | 安卓手机端应用代理接入安全控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201215 |
|
| RJ01 | Rejection of invention patent application after publication |