交流 › RouterOS › 如何只让指定的IP或主机使用winbox登陆管理ROS？

crc8 发表于 2011-3-21 09:16:00

如何只让指定的IP或主机使用winbox登陆管理ROS？

想只让指定的IP或主机使用winbox或网页界面 登陆管理ROS

谢谢！

crc8 发表于 2011-3-21 10:04:20

用的是2.9.27

可以在winbox里的user那里设置指定登录 IP，但这样有以下两个问题：

1. 在网内任意客户端使用 MAC 方式仍可正常登录；

2. 在网内任意客户端使用网页浏览器（如IE）仍可打开登录界面，虽然是登录不了。（我不想让其打开此网页）

YAWPYNG 发表于 2011-3-21 10:06:14

本帖最后由 YAWPYNG 于 2011-3-21 10:20 编辑

1.在防火牆裡面加一條進來方向的8291 PORTALL IP阻擋,然後設置你要允許連進來的IP為"!"
或是做address list名單.

2.或是把WINBOX 的8291改換為其他PORT.

2.如果你要連進來的IP經常變動的話,考慮改用VPN連線管理ROS.或者是搭配ROS防火牆設一個自動加入address list名單的規則,找一個較多PORT的端口當成通關密碼(例如65XXX)自動讓ROS加入到允許的地址名單內(可以設有效時間).你在瀏覽器網址輸入http://ROSIP:65XXX 這樣就會加入到address list名單了.

crc8 发表于 2011-3-21 10:39:08

YAWPYNG 发表于 2011-3-21 10:06 static/image/common/back.gif
1.在防火牆裡面加一條進來方向的8291 PORTALL IP阻擋,然後設置你要允許連進來的IP為"!"
或是做address l ...

我网段是10.0.0.0/24

ROS地址：10.0.0.8/32

指定登录IP：10.0.0.108/32

我不是很清楚如何导出脚本，我尝试用了一下export导出防火墙的设置如下：（这样设置还是没成功）# mar/21/2011 10:32:59 by RouterOS 2.9.27
# software id = 0QZZ-D0T
#
/ ip firewall nat
add chain=srcnat src-address=10.0.0.0/24 action=masquerade comment="" \
    disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
    tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
    tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
    tcp-syncookie=no
/ ip firewall filter
add chain=input in-interface=lan src-address=0.0.0.0 dst-address=10.0.0.8 \
    protocol=tcp dst-port=0-65535 dst-address-list=10.0.0.8/32 action=reject \
    reject-with=icmp-network-unreachable comment="" disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes

zhjchina 发表于 2011-3-21 21:27:26

crc8 发表于 2011-3-21 10:04 static/image/common/back.gif
用的是2.9.27

可以在winbox里的user那里设置指定登录 IP，但这样有以下两个问题：


第一个问题可以关闭 MAC server来解决

第二个问题是可以通过 ip-> service 关闭web 80端口访问。

yuefy 发表于 2011-3-22 08:12:12

楼上正解，第一关闭用MAC服务(MAC SERVER)阻止用mac地址登陆，
第二ip--service    关团不要服务，winbox服务设置你要登录的IP

macxie 发表于 2011-3-22 08:17:54

在user那里可以设置ip的。。。

crc8 发表于 2011-3-22 09:22:46

zhjchina 发表于 2011-3-21 21:27 static/image/common/back.gif
第一个问题可以关闭 MAC server来解决

第二个问题是可以通过 ip-> service 关闭web 80端口访问。

感谢，我要的就是这个效果。

再次感谢！！！

cy130345520 发表于 2011-3-22 10:26:52

正好学习一下,

tancunf4 发表于 2011-4-16 22:02:38

我在WINBOX 的8291改換為1980. 我用 changeip.net:1980 这们登陆不了```是不

是格式错了

查看完整版本: 如何只让指定的IP或主机使用winbox登陆管理ROS？