求助关于内网用户上网控制与IP绑定。

xuejun

公司局域网外网为10M光纤，内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件，但不用上网只开通25,110  其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。
是否有好的教程参考，或给个提示。谢谢！
另还有一条ADSL备份线路是否可并入。

xuejun

研究了半天还是没有成果，只能再次求助。

xuejun

再顶一下。希望能解决！

幻幻生

帮顶....我也要学!!!

qq2991989

双向绑定! + 流量限制!

luzai

原帖由 qq2991989 于 2006-8-18 16:09 发表
双向绑定! + 流量限制!

这个不是解决办法
做IP绑定如果是为了限制入网，不需要双向绑定
流量限制就无法满足LZ的需求了
只开放110、25端口的可以通过防火墙规则实现啊
指定ip段的除了这2个端口外的数据包都drop了

xuejun

1、绑定IP是否需要一个一个的绑定，还有我看到的教程上都是绑定后直接（iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP ）这样我绑定的不是都不能上网了吗。
2、还有开放110.25端口如果实现，我是第一次接触是否可以给个示例。
请指教。谢谢！

cracks

求助关于内网用户上网控制与IP绑定。

公司局域网外网为10M光纤，内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件，但不用上网只开通25,110  其它IP能上网开通所有端口。如果操作要求绑定IP-MAC 防止用户自行更换IP。
是否有好的教程参考，或给个提示。谢谢！
另还有一条ADSL备份线路是否可并入。

可以实现的呀。不过你说的不让别人乱动ip的法了，你要不用pppoe-server或hotspot方式，user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略，或是用第三方网管工具，如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具，可以达到实时性效果。（有条件的用三层可网管交换机对每个口做mac处理。）

内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件，这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。

开通25,110  其它IP能上网开通所有端口，这里你使用firewall容器中的forward链来实现，加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。

对于ip你要是没有域服务器就使用ros的dhcp-server方式，启用选项中的ip-arp自动帮定功能。

请灵活使用其中功能。

你这是典型的企业用户要求。不过对于adsl加入，也一样的，多安装块网卡就是了，不过要对下面哪些机走这台adsl线路，你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。

有问题在留言　吧。

[ 本帖最后由 cracks 于 2006-8-18 19:42 编辑 ]

xuejun

可以实现的呀。不过你说的不让别人乱动ip的法了，你要不用pppoe-server或hotspot方式，user+pwd+ip+mac还识别身份。想彻底不让下面工作站修改自己的主机ip那你要用域组策略，或是用第三方网管工具，如ip-guard等杰出网管工具控制乱动行为。只是使用本机组策略或是注册表方法不够严密。用第三方网管工具，可以达到实时性效果。（有条件的用三层可网管交换机对每个口做mac处理。）

内网IP为192.168.1.0-254 公司要求IP为192.168.1.0-100的用户能收发邮件，这里你可以在做nat时用子网掩码方式控制ip段地址。来实现。

开通25,110  其它IP能上网开通所有端口，这里你使用firewall容器中的forward链来实现，加条规则策略对于ip地址池为192.168.1.0-100的用户.就可以了。

对于ip你要是没有域服务器就使用ros的dhcp-server方式，启用选项中的ip-arp自动帮定功能。

请灵活使用其中功能。

你这是典型的企业用户要求。不过对于adsl加入，也一样的，多安装块网卡就是了，不过要对下面哪些机走这台adsl线路，你自己配置就是了。
秋风落叶扫。。。。。。。。。。路过来看看。。。。

有问题在留言　吧。

谢谢回复，公司现使用的是TP-480路由器，实现了上述的功能，现在想用ROS做一个还请指教，在NAT中如何用掩码控制IP段，还有如何只开放25，110能否给个例子。
关于IP-MAC自动绑定是否所有IP要手动一个一个的设定。

xuejun

现在只会在ROS中实现IP与MAC绑定来控制那台电脑能上网和限制某端口的访问firewall中DROP来实现。但对于只开放25,110端口还不会，如果实现还请指教。

zhuww

别人写的,我转到这里来啊

ROS 技巧总结20060708：关于LIST（列表） 的作用 ==希望能穿针引线启发大家

试验环境：

办公室 LAN 路由器 ROS 2.9.7

本地网段 Local - 192.168.0.0/24

IP - 192.168.0.100 - 192.168.0.250 Should have access only to SMTP and POP3 on internet （仅仅能上邮件）


IP - 192.168.0.0 - 192.168.0.99 - full access （完全不控制）


要求：只有部分机器要限制上网 仅仅给他们收发邮件 （SMTP/POP）

试验已经非常成熟

需要了解这部分内容的朋友请你回复1下



     [本部分设定了隐藏,您已回复过了,以下是隐藏的内容]

=================================


/ ip firewall address-list

add list=all_services address=192.168.0.x comment="full access list" disabled=no

注：这里自己添加自由访问的IP 手动或者作脚本都可以看你自己了

add list=mail address=192.168.0.100~250 comment="mail access list" disabled=no

注：添加限制访问的 列表

=====================================

这些表的控制

/ ip firewall filter
add chain=forward src-address-list=all_services action=accept comment="allow 192.168.0.x full access" disabled=no

允许 all_services 这个列表的IP访问所有的网络

add chain=forward protocol=tcp dst-port=110 src-address-list=mail action=accept comment="allow pop3 to 192.168.0.y" disabled=no


允许 特别限制的IP 访问110 （POP端口）

add chain=forward protocol=tcp dst-port=25 src-address-list=mail action=accept comment="allow smtp to 192.168.0.y" disabled=no

允许 特别限制的IP 访问 25 （SMTP端口）

add chain=forward src-address-list=mail action=drop comment="drop all other from
192.168.0.y" disabled=no

不允许 特别限制的IP访问 其他任何端口

xuejun

谢谢，收下慢慢看

xuejun

还有一个问题在流量控制中dst-address中格式为0.0.0.0/0  是否可能将192.168.0.1-192.168.0.100转化为0.0.0.0/0 格式。或是否有其它方法进行设置192.168.0.1-192.168.0.100