交流 › RouterOS › 成功了，狂喜，ROS限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址

3007 发表于 2005-9-8 22:28:42

成功了，狂喜，ROS限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址

限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址如何设置呢？思索良久，无对策，有这方面经验的高手能否帮一把！

[ 本帖最后由 3007 于 2005-9-10 10:08 PM 编辑 ]

bh 发表于 2005-9-8 23:31:22

只能访问2-3个外部IP地址,太少了。

限制掉所有的用户
/ip firewall rule forward add connect-limt=X protocol=tcp disable=no

终端输入
X =连接数，差不多30左右可以考虑~ 自己调解
--------------------------------------------------------------------------------------------
限制掉单个的用户
/ip firewall rule forward add protocol=tcp tcp-options=syn-only src-address=192.168.1.12/32 connection-limit=50 action=drop

TCP 50个连接限制

3007 发表于 2005-9-9 09:27:58

非常感谢BH兄的回复，但你理解错了我的意思，我要的是比如我让内网某些用户只访问
211.152.181.18和211.152.181.19，或者新浪网和中华网，其它的统统不能用，并且它必须能
同时访问211.152.181.18和211.152.181.19，我在ROS中发现好象只能限定一个地址或网址。

zhanghui 发表于 2005-9-9 09:53:01

同样道理，先添加内网允许访问的服务器ip,还有dns得ip,再限制内网访问所有的ip。

3007 发表于 2005-9-9 10:22:35

原帖由 zhanghui 于 2005-9-9 09:53 AM 发表
同样道理，先添加内网允许访问的服务器ip,还有dns得ip,再限制内网访问所有的ip。
张大哥，能否说的更明白些呢？我的想象是在SOURCE NAT中的ADV项目中的CONNET中添加允许访问的外部地址或网址，但它只能添加一个啊，剩下的怎么弄呢？或者你写一个命令出来我就懂了！非常感谢你恢复我！

[ 本帖最后由 3007 于 2005-9-9 10:24 AM 编辑 ]

zhanghui 发表于 2005-9-9 10:48:25

先添加允许访问dns的ip:
ip firewall rule forward add dst-address=dns ip/32 dst-port=53 protocol=udp action=accept

再添加允许访问的服务器ip
ip firewall rule forward add dst-address=WEB SRV ip/32 dst-port=80 protocol=tcp action=accept

然后禁止所有的
ip firewall rule forward add action=drop

3007 发表于 2005-9-9 11:00:08

原帖由 zhanghui 于 2005-9-9 10:48 AM 发表
先添加允许访问dns的ip:
ip firewall rule forward add dst-address=dns ip/32 dst-port=53 protocol=udp action=accept

再添加允许访问的服务器ip
ip firewall rule forward add dst-address=WEB SRV ip/32 ...
我按照你的说法做了，但是好象行不通，第三条规则好象把1和2又都否定了，没有流量！你看图片，就是最后4条规则！

[ 本帖最后由 3007 于 2005-9-9 11:02 AM 编辑 ]

zhanghui 发表于 2005-9-9 11:21:17

这个要放在最后
“ip firewall rule forward add action=drop”

看图，dns的请求发出去了，应该没问题
61.141.193.248应该可以访问的，61.141.193.250因为放在最后，不能访问。

[ 本帖最后由 zhanghui 于 2005-9-9 11:24 AM 编辑 ]

3007 发表于 2005-9-9 11:32:58

原帖由 zhanghui 于 2005-9-9 11:21 AM 发表
这个要放在最后
“ip firewall rule forward add action=drop”

看图，dns的请求发出去了，应该没问题
61.141.193.248应该可以访问的，61.141.193.250因为放在最后，不能访问。

你看另外一张图，因为我的61.141.193.250同时也是在内网，我试了一下ROUTERCLUB的地址，也不行！我PINGDNS也出不去，但我把DROP禁用，DNS马上就通了。如图

zhanghui 发表于 2005-9-9 11:39:56

要PING的话要开icmp才行。
你可以ping 域名看看能不能解析为ip

3007 发表于 2005-9-9 12:00:37

原帖由 zhanghui 于 2005-9-9 11:39 AM 发表
要PING的话要开icmp才行。
你可以ping 域名看看能不能解析为ip

可以的，我PING域名可以解析为地址。我刚才又试了一种方法，但是速度很慢，看图。最后一条和倒数第二条是同样的原理，但没有流量，但163又可以上。那个202.96.128.143是DNS

[ 本帖最后由 3007 于 2005-9-9 12:04 PM 编辑 ]

3007 发表于 2005-9-9 17:20:59

沉了??

3007 发表于 2005-9-10 22:06:47

非常感谢，我已经完全实现了此功能，不过做了一点点变通，如果不变通是不行的，如图就是再图2中DROP要加上你不希望封杀的IP。对很多人都有用处。尤其是公司用户

苏小小 发表于 2007-10-18 07:51:58

如果不是封ip，因为用PPPoE动态拨号，想封用户，怎么办？

lisbonbar 发表于 2007-10-21 16:41:26

我看看
:) :) :) :) :) :) :) :)

查看完整版本: 成功了，狂喜，ROS限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址