命令行写IPsec规则
今天被楼下的物业人员叫去帮忙下个小游戏,竟然发现6楼的用户可以访问我们14楼的电脑。我原以为每层的网络连接都是通过路由规则隔离开来的,我们单位是一整层故此没有什么安全问题。发现这种情况,吓了我一跳,大家都用无密码的网上邻居传文件,文件完全暴露在别人眼皮地下。跟一个工程师说了这个问题,他说其实也没有什么秘密,工程揽到手了,图纸就不是秘密了。但是我的想法是如果是招标方案,方案被人拷了去,多不好;另外,多的是弱口令甚至无口令的机器,实在是太可怕了。
回去就设定了IPsec规则,让除了14楼以外的IP都无法访问我的机器,另外,还好大楼设定了每层只可以使用自己这层的网关,其他层是无法使用14层的 IP以及网关的。但是单位机器多,我不可能一台台去弄,而且也得领导批准。就想用命令行写了。网上找了些资料,还是比较容易的(每行开头都是 ipseccmd,有折行请自行换行):
ipseccmd -w REG -p “dly_IPsec” -r “allow14″ -f 0+192.168.14.* -n PASS
ipseccmd -w REG -p “dly_IPsec” -r “denyNon14″ -f 0+192.168.*.* -n BLOCK
ipseccmd -w REG -p “dly_IPsec” -x
ipseccmd命令在xp盘的support/support.cab中。上面0+分表表示本地地址和镜像规则。有机会向领导报告一下这个事情,如果批准,每个同事到我这里下载这个脚本跑一下就可以了,不用自己设置;不知道会不会看重,反正作为一个员工,我尽责报告就是能做得全部了。