这是我的配置
/ ip firewall address-list
add list=list address=192.168.1.112 comment="" disabled=no
/ ip firewall filter
add chain=forward protocol=udp src-port=0-65535 dst-port=0-65535 \
src-address-list=list action=accept comment="" disabled=no
add chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535 \
content=shangdu.com src-address-list=list action=accept comment="" \
disabled=no
add chain=forward src-address-list=list action=drop comment="" disabled=no
我修改了一下规则,如下
/ ip firewall address-list
add list=list address=192.168.1.112 comment="" disabled=no
/ ip firewall filter
add chain=forward protocol=udp src-port=0-65535 dst-port=0-65535 \
src-address-list=list action=accept comment="" disabled=no
add chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535 \
content=202.102.229.136 src-address-list=list action=accept comment="" \
disabled=no
add chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535 \
content=xx.xx.xx.xx src-address-list=list action=accept comment="" \
disabled=no
add chain=forward src-address-list=list action=drop comment="" disabled=no
可以打开这个网页了,但是打开很慢,显示也不全。不知道是什么原因。请高手注意这一条content=xx.xx.xx.xx src-address-list=list action=accept comment="" \
disabled=no
它是用来放行我的一远程主机控制的,可以正常访问远程主机。就是网页不正常。把mss改到1400了,还是不行。
[ 本帖最后由 peiliqin 于 2006-11-16 21:41 编辑 ]
顶一下
楼主在干什么?被你弄糊涂了
原帖由 peiliqin 于 2006-11-14 19:14 发表
我想让一个内网里的机器,只能访问特定的几个网址,没有允许不能访问。请注意:是特定的几个网址,不是限制一个。
不知道ros能不能实现这个功能。
楼主你自己看看你的要求,你要限制的是目的地址,你把目的地址加入到地址列表就行了,而看你现在是把目的地址写到了关键字那里了,我晕死,基础啊!!!!
原帖由 专卖精品 于 2006-11-17 10:28 发表
楼主你自己看看你的要求,你要限制的是目的地址,你把目的地址加入到地址列表就行了,而看你现在是把目的地址写到了关键字那里了,我晕死,基础啊!!!!
可是,除了网页打开的很慢,其他的访问正常啊。我有点明白你的意思了。我在试试。
我看到文字规则就头疼,发截图嘛!
原帖由 peiliqin 于 2006-11-15 16:15 发表
你这是什么意思?我来这里请教,说明我不会。你呢?这样是不是显得你的水平很高啊?就是真的很高也不必这样吧?我不相信一生下来就什么懂了!
其实3楼老大的意思我倒是认为意思是要2楼兄讲清楚说明点 , 并不是在溪落谁质素低阿. 别这样火大吗.
原帖由 专卖精品 于 2006-11-17 10:28 发表
楼主你自己看看你的要求,你要限制的是目的地址,你把目的地址加入到地址列表就行了,而看你现在是把目的地址写到了关键字那里了,我晕死,基础啊!!!!
我按你的意思做了一下规则,还是打开网页很慢,其他的服务正常,比如,净网先锋连接服务器就很正常。
/ ip firewall address-list
add list=list address=192.168.1.112 comment="" disabled=no
add list=tongguo address=202.102.229.136 comment="" disabled=no
add list=tongguo address=202.102.229.132 comment="" disabled=no
add list=tongguo address=202.108.33.32 comment="" disabled=no
add list=tongguo address=220.202.78.197 comment="" disabled=no (附注:这个是净网先锋的ip,它连接正常)
add list=tongguo address=202.108.22.43 comment="" disabled=no
add list=tongguo address=202.108.22.5 comment="" disabled=no
add list=tongguo address=202.102.229.134 comment="" disabled=no
add list=tongguo address=219.238.238.133 comment="" disabled=no
/ ip firewall filter
add chain=forward protocol=udp src-port=0-65535 dst-port=0-65535 \
src-address-list=list action=accept comment="" disabled=no
add chain=forward src-address-list=list dst-address-list=tongguo action=accept \
comment="" disabled=no
add chain=forward src-address-list=list action=drop comment="" disabled=no
这个是按你的意思做的规则,你看看,应该没有什么问题吧。可还是打开网页很慢。
为什么只开了udp,不开tcp?
速度慢?和防火墙有关系吗?从表面上看,应该防火墙没有关系了,你测试一下关闭所有防火墙规则和开启后的速度对比,个人觉得不是防火墙的问题,如果是防火墙,你可能连打开的机会都没有了
原帖由 seignior 于 2006-11-17 19:35 发表
为什么只开了udp,不开tcp?
主要是用来做地址解析用的。反正我也不限制udp上的服务,主要是限制网页浏览,就把udp全开放了。
原帖由 专卖精品 于 2006-11-17 19:47 发表
速度慢?和防火墙有关系吗?从表面上看,应该防火墙没有关系了,你测试一下关闭所有防火墙规则和开启后的速度对比,个人觉得不是防火墙的问题,如果是防火墙,你可能连打开的机会都没有了
如果把规则关闭了,那速度可是天壤之别。开了规则以后,打开允许访问的网页很慢很慢,而且,内容显示不全。
要是有可能的话,可以请你按这个规则测试一下吗?我的qq 380282979
问题好象找到了。规则没错。好象是在开放的网页里包含有其他的没有允许访问的地址,所以打开的才很慢。估计是这个原因。
同意2楼3楼
搂主说句得罪话,逻辑思维不行啊。。。。
你在 地址列表中输入 你所要限制的所有目标ip地址后,
在防火墙中 作forward规则
源 地址 你内网被限制ip
目的地址 地址列表
动作 drop
就这样好像就可以了吧?