求助关于内网用户上网控制与IP绑定。
公司局域网外网为10M光纤,内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,但不用上网只开通25,110其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。是否有好的教程参考,或给个提示。谢谢!
另还有一条ADSL备份线路是否可并入。 研究了半天还是没有成果,只能再次求助。 再顶一下。希望能解决! 帮顶....我也要学!!! 双向绑定! + 流量限制! 原帖由 qq2991989 于 2006-8-18 16:09 发表
双向绑定! + 流量限制!
这个不是解决办法
做IP绑定如果是为了限制入网,不需要双向绑定
流量限制就无法满足LZ的需求了
只开放110、25端口的可以通过防火墙规则实现啊
指定ip段的除了这2个端口外的数据包都drop了 1、绑定IP是否需要一个一个的绑定,还有我看到的教程上都是绑定后直接(iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP )这样我绑定的不是都不能上网了吗。
2、还有开放110.25端口如果实现,我是第一次接触是否可以给个示例。
请指教。谢谢! 求助关于内网用户上网控制与IP绑定。
公司局域网外网为10M光纤,内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,但不用上网只开通25,110其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。
是否有好的教程参考,或给个提示。谢谢!
另还有一条ADSL备份线路是否可并入。
可以实现的呀。不过你说的不让别人乱动ip的法了,你要不用pppoe-server或hotspot方式,user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略,或是用第三方网管工具,如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具,可以达到实时性效果。(有条件的用三层可网管交换机对每个口做mac处理。)
内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。
开通25,110其它IP能上网开通所有端口,这里你使用firewall容器中的forward链来实现,加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。
对于ip你要是没有域服务器就使用ros的dhcp-server方式,启用选项中的ip-arp自动帮定功能。
请灵活使用其中功能。
你这是典型的企业用户要求。不过对于adsl加入,也一样的,多安装块网卡就是了,不过要对下面哪些机走这台adsl线路,你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。
有问题在留言 吧。
[ 本帖最后由 cracks 于 2006-8-18 19:42 编辑 ] 可以实现的呀。不过你说的不让别人乱动ip的法了,你要不用pppoe-server或hotspot方式,user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略,或是用第三方网管工具,如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具,可以达到实时性效果。(有条件的用三层可网管交换机对每个口做mac处理。)
内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。
开通25,110其它IP能上网开通所有端口,这里你使用firewall容器中的forward链来实现,加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。
对于ip你要是没有域服务器就使用ros的dhcp-server方式,启用选项中的ip-arp自动帮定功能。
请灵活使用其中功能。
你这是典型的企业用户要求。不过对于adsl加入,也一样的,多安装块网卡就是了,不过要对下面哪些机走这台adsl线路,你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。
有问题在留言 吧。
谢谢回复,公司现使用的是TP-480路由器,实现了上述的功能,现在想用ROS做一个还请指教,在NAT中如何用掩码控制IP段,还有如何只开放25,110能否给个例子。
关于IP-MAC自动绑定是否所有IP要手动一个一个的设定。 现在只会在ROS中实现IP与MAC绑定来控制那台电脑能上网和限制某端口的访问firewall中DROP来实现。但对于只开放25,110端口还不会,如果实现还请指教。 别人写的,我转到这里来啊
ROS 技巧总结20060708:关于LIST(列表) 的作用 ==希望能穿针引线启发大家
试验环境:
办公室 LAN 路由器 ROS 2.9.7
本地网段 Local - 192.168.0.0/24
IP - 192.168.0.100 - 192.168.0.250 Should have access only to SMTP and POP3 on internet (仅仅能上邮件)
IP - 192.168.0.0 - 192.168.0.99 - full access (完全不控制)
要求:只有部分机器要限制上网 仅仅给他们收发邮件 (SMTP/POP)
试验已经非常成熟
需要了解这部分内容的朋友请你回复1下
[本部分设定了隐藏,您已回复过了,以下是隐藏的内容]
=================================
/ ip firewall address-list
add list=all_services address=192.168.0.x comment="full access list" disabled=no
注:这里自己添加自由访问的IP 手动或者作脚本都可以看你自己了
add list=mail address=192.168.0.100~250 comment="mail access list" disabled=no
注:添加限制访问的 列表
=====================================
这些表的控制
/ ip firewall filter
add chain=forward src-address-list=all_services action=accept comment="allow 192.168.0.x full access" disabled=no
允许 all_services 这个列表的IP访问所有的网络
add chain=forward protocol=tcp dst-port=110 src-address-list=mail action=accept comment="allow pop3 to 192.168.0.y" disabled=no
允许 特别限制的IP 访问110 (POP端口)
add chain=forward protocol=tcp dst-port=25 src-address-list=mail action=accept comment="allow smtp to 192.168.0.y" disabled=no
允许 特别限制的IP 访问 25 (SMTP端口)
add chain=forward src-address-list=mail action=drop comment="drop all other from
192.168.0.y" disabled=no
不允许 特别限制的IP访问 其他任何端口 谢谢,收下慢慢看 还有一个问题在流量控制中dst-address中格式为0.0.0.0/0是否可能将192.168.0.1-192.168.0.100转化为0.0.0.0/0 格式。或是否有其它方法进行设置192.168.0.1-192.168.0.100
页:
[1]