求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈
求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈公司内部普通员工是不允许上网的.在IP-arp 列表中.我都已经绑定了所有的IP和MAC地址 ..
然后我把不允许上网的客户机的IP, 点叉叉.它就不能上网了.
现在我的问题是.如何让这些不能上网的机器可以访问一个外部地址的80,25,110 端口啊!?~?
或者换一种方式来禁止他们上网也行啊.拜托了大家了哈 自己顶上去 假设可以访问的外部地址为:www.126.com,如果是固定IP的(61.177.95.155)就更方便了.
那些不能上网的电脑为:disablePC,单机以192.168.0.4。下面以80为例,如果没必要禁止他在其它邮箱用25,100端口收发邮件的话,个人认为只需控制80端口就可以了。
/ip f f
add chain=forward protocol=tcp dst-port=!80 action=accept comment="open!80" disabled=no
(这里先加一条开放非80端口,是因为下一步我们要禁止所有非80的端口。如果没有这一条,下面的一禁止了就连DNS什么的都连不上了)
add chain=forward src-address=192.168.0.4 dst-address=!61.177.95.155 protocol=tcp dst-port=80 action=drop disabled=no
(禁止192.168.0.4访问IP 61.177.95.155的80端口以外的地址及端口。也就是只能访问61.177.95.155 80的80端口)
下面是数据的模拟
192.168.0.4 访问 61.177.95.155 端口 25,53,80,110,139,445
经过第一条规则后
25,53,80,110,139,445
经过第二条规则后
25,53,80,110,139,445
如果没经过第一条规则就只有80能通过
192.168.0.4 访问 61.177.95.100 端口 25,53,80,110,139,445
经过第一条规则后
25,53,80,110,139,445
经过第二条规则后
25,53,110,139,445
如果没经过第一条规则就什么都不能通过 NAT里只转发指定IP的指定端口即可.别忘了转发DNS.
页:
[1]