[求助]关于防火墙的规则
我想我内网只可以上一个网站,其它网站都不可以打开设防火规则http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=211.141.113.18/32:80 protocol=tcp action=accept
1 protocol=tcp action=drop
首先通过211.141.112.18这个网站
再drop全部网站
怎么我设了就是不行,什么网站都打不开,包括211.141.112.18这个网站,将0 1位置调换也不行,这到底是怎么回事呀!
再来一个例子
http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=:80 protocol=tcp action=accept
1 protocol=tcp action=drop
首先通过80端口
然后drop所有端口
可是没有效果测试一下,所有端口都封了,包括80端口,我想是不是我设置有问题,还是防火墙的规则我没搞好
大家帮我一下,好吗?
以上设置都是在forward设置的 我试了一下,
指定好输入 输出网络接口后就能实现你说的只能访问某个指定的网站,如果不指定网络接口会出现你说的这种情况,
我是在2.96下测试 的, forward同时包括进与出的
所以drop全部那行,必须包含源地址 hufly,请问一下输入接口是不是选内网网卡,输出接口是不是外网网卡。
最好你可不可以将你的配置贴出来给我看一下。
谢谢了 指定内网只能访问某一个网站教程
http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0 src-address=192.168.0.100/32 in-interface=lan
dst-address=202.101.234.106/32 out-interface=wan protocol=tcp
action=accept
1 src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop
第一步:
src-address=192.168.0.100/32 in-interface=lan
dst-address=202.101.234.106/32 out-interface=wan protocol=tcp
action=accept
输入接口:填内网网卡,一定记得不要选错了。
输出接口:填外网网卡,一定记得不要选错了。
第二步:
src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop
现在,工作站这台电脑就只能访问202.101.234.106这个网站了,别的网站访问不了。
希望大家可以学会,并且可以举一反三。
如果是全部内网的话就填192.168.0.0就可以了
如果是封端口的话,就要填写端口号
比如:选通过80
然后dorp所有端口。
好了,谢谢您的观赏。
forward要注意方向问题
0 dst-address=211.141.113.18/32:80 protocol=tcp action=accept这条允许所有发往211.141.113.18:80的数据包通过,
1 protocol=tcp action=drop
这台干调了所有其它的数据包,包括211.141.113.18:80发回的数据包,
所以虽然你可以发数据包给该地址,但却收不到它返回的数据包!!!
两个解决方法:
1、把第二句改为只干掉所有其它发出去的数据包:
src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop
2、在第二句干掉所有其它数据包之前,再允许211.141.113.18:80发回的数据包,即加入这个forward:
src-address=202.101.234.106/32 action=accept
当然,第二个方法更好些 另外,你的winbox是中文版的,哪里有的下?
页:
[1]