找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 8493|回复: 12

[其它] 求助关于内网用户上网控制与IP绑定。

[复制链接]
发表于 2006-8-13 13:44:04 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
公司局域网外网为10M光纤,内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,但不用上网只开通25,110  其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。
是否有好的教程参考,或给个提示。谢谢!
另还有一条ADSL备份线路是否可并入。
routeros
 楼主| 发表于 2006-8-14 07:34:38 | 显示全部楼层
研究了半天还是没有成果,只能再次求助。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-18 14:10:13 | 显示全部楼层
再顶一下。希望能解决!
routeros
回复

使用道具 举报

发表于 2006-8-18 14:44:55 | 显示全部楼层
帮顶....我也要学!!!
routeros
回复

使用道具 举报

发表于 2006-8-18 16:09:49 | 显示全部楼层
双向绑定! + 流量限制!
routeros
回复

使用道具 举报

发表于 2006-8-18 16:36:00 | 显示全部楼层
原帖由 qq2991989 于 2006-8-18 16:09 发表
双向绑定! + 流量限制!

这个不是解决办法
做IP绑定如果是为了限制入网,不需要双向绑定
流量限制就无法满足LZ的需求了
只开放110、25端口的可以通过防火墙规则实现啊
指定ip段的除了这2个端口外的数据包都drop了
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-18 17:25:38 | 显示全部楼层
1、绑定IP是否需要一个一个的绑定,还有我看到的教程上都是绑定后直接(iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP )这样我绑定的不是都不能上网了吗。
2、还有开放110.25端口如果实现,我是第一次接触是否可以给个示例。
请指教。谢谢!
routeros
回复

使用道具 举报

发表于 2006-8-18 19:39:49 | 显示全部楼层
求助关于内网用户上网控制与IP绑定。

公司局域网外网为10M光纤,内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,但不用上网只开通25,110  其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。
是否有好的教程参考,或给个提示。谢谢!
另还有一条ADSL备份线路是否可并入。

可以实现的呀。不过你说的不让别人乱动ip的法了,你要不用pppoe-server或hotspot方式,user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略,或是用第三方网管工具,如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具,可以达到实时性效果。(有条件的用三层可网管交换机对每个口做mac处理。)

内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。

开通25,110  其它IP能上网开通所有端口,这里你使用firewall容器中的forward链来实现,加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。

对于ip你要是没有域服务器就使用ros的dhcp-server方式,启用选项中的ip-arp自动帮定功能。

请灵活使用其中功能。

你这是典型的企业用户要求。不过对于adsl加入,也一样的,多安装块网卡就是了,不过要对下面哪些机走这台adsl线路,你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。

有问题在留言 吧。


[ 本帖最后由 cracks 于 2006-8-18 19:42 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-18 21:05:21 | 显示全部楼层
可以实现的呀。不过你说的不让别人乱动ip的法了,你要不用pppoe-server或hotspot方式,user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略,或是用第三方网管工具,如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具,可以达到实时性效果。(有条件的用三层可网管交换机对每个口做mac处理。)

内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件,这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。

开通25,110  其它IP能上网开通所有端口,这里你使用firewall容器中的forward链来实现,加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。

对于ip你要是没有域服务器就使用ros的dhcp-server方式,启用选项中的ip-arp自动帮定功能。

请灵活使用其中功能。

你这是典型的企业用户要求。不过对于adsl加入,也一样的,多安装块网卡就是了,不过要对下面哪些机走这台adsl线路,你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。

有问题在留言 吧。

谢谢回复,公司现使用的是TP-480路由器,实现了上述的功能,现在想用ROS做一个还请指教,在NAT中如何用掩码控制IP段,还有如何只开放25,110能否给个例子。
关于IP-MAC自动绑定是否所有IP要手动一个一个的设定。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-22 08:56:55 | 显示全部楼层
现在只会在ROS中实现IP与MAC绑定来控制那台电脑能上网和限制某端口的访问firewall中DROP来实现。但对于只开放25,110端口还不会,如果实现还请指教。
routeros
回复

使用道具 举报

发表于 2006-8-22 09:01:53 | 显示全部楼层
别人写的,我转到这里来啊

ROS 技巧总结20060708:关于LIST(列表) 的作用 ==希望能穿针引线启发大家

试验环境:

办公室 LAN 路由器 ROS 2.9.7

本地网段 Local - 192.168.0.0/24

IP - 192.168.0.100 - 192.168.0.250 Should have access only to SMTP and POP3 on internet (仅仅能上邮件)


IP - 192.168.0.0 - 192.168.0.99 - full access (完全不控制)


要求:只有部分机器要限制上网 仅仅给他们收发邮件 (SMTP/POP)

试验已经非常成熟

需要了解这部分内容的朋友请你回复1下



     [本部分设定了隐藏,您已回复过了,以下是隐藏的内容]

=================================


/ ip firewall address-list

add list=all_services address=192.168.0.x comment="full access list" disabled=no

注:这里自己添加自由访问的IP 手动或者作脚本都可以看你自己了

add list=mail address=192.168.0.100~250 comment="mail access list" disabled=no

注:添加限制访问的 列表

=====================================

这些表的控制

/ ip firewall filter
add chain=forward src-address-list=all_services action=accept comment="allow 192.168.0.x full access" disabled=no

允许 all_services 这个列表的IP访问所有的网络

add chain=forward protocol=tcp dst-port=110 src-address-list=mail action=accept comment="allow pop3 to 192.168.0.y" disabled=no


允许 特别限制的IP 访问110 (POP端口)

add chain=forward protocol=tcp dst-port=25 src-address-list=mail action=accept comment="allow smtp to 192.168.0.y" disabled=no

允许 特别限制的IP 访问 25 (SMTP端口)

add chain=forward src-address-list=mail action=drop comment="drop all other from
192.168.0.y" disabled=no

不允许 特别限制的IP访问 其他任何端口
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-22 09:15:48 | 显示全部楼层
谢谢,收下慢慢看
routeros
回复

使用道具 举报

 楼主| 发表于 2006-8-22 10:18:50 | 显示全部楼层
还有一个问题在流量控制中dst-address中格式为0.0.0.0/0  是否可能将192.168.0.1-192.168.0.100转化为0.0.0.0/0 格式。或是否有其它方法进行设置192.168.0.1-192.168.0.100
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 09:43 , Processed in 0.061947 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表