我想限定某个IP只允许访问某个网站,搞一天没搞定了,请高手帮帮忙

xxooxx999

目前的设定如下,内网里面设置PPPOE拨号才可以共享上网,某一帐号拨号以后获得了一个IP,比如192.168.0.90,此时这台机器可以上网了,但我想限制他只能浏览比如sina这个网站,我是这样设置的,在IP/firewall/filter rules里设置2条规则,第一条如图1~3 第2条如图4~6,请各位帮忙看看我到底那里错了，这样设置出来,本来可以上网的,变成的不能上网了,搞了1天了，都没搞清楚,我是个新手来的,还请各位帮帮忙

xxooxx999

忘记说了，我用的是routeros 2.9.27

hcb

一条规则就可以了

首先，给PPPOE用户分配指定的IP,使得每次拨号获得相同的IP,方便控制，否则麻烦点，需要用脚本来取得
然后，用一条srcnat规则做地址伪装就可以了，控制得宽，参数少点，控制得严，参数多一点
/ip firewall nat add chain=srcnat action=masquerade disabled=no protocol=协议 dst-port=外网端口   src-address=内网IP dst-address=外网IP

xxooxx999

多谢楼上的,如果用srcnat来做规则,那么dst-address外网地址就只能写IP地址吗了,那如果,我不知道网站的IP不是很是麻烦,如果我只想写URL的话该怎么弄呢???

weikun444

ping  域名应该能得到其IP地址.发现变了再更改.

xxooxx999

多谢楼上,不过我觉得还是限制域名方便哦，IP改域名总不能乱改吧,还请各位多多帮忙

xxooxx999

吃完饭了，在顶下吧，希望能顶出个好的解决方法来

hcb

如果一个网站有多个域名的话，可以使用地址列表来代替单个地址
使用ROS的DNS,用脚本定时地读取DNS的缓存，找到你要的域名和IP,如果该IP在地址列表里不存在的话，就添加进去，久了就找完了它的所有IP了,
如果一个网站里使用多个域名的话，则列出找到的域名，循环用上面的方法找多每个域名的IP

当然，在发现问题的时候，也可以手工添加IP到地址列表里

samhui

哇。这样做。性能下降得很厉害的

freesoft

感觉ROS在这方面不行,用起来很不方便...