如何只让指定的IP或主机使用winbox登陆管理ROS？

crc8

想只让指定的IP或主机使用winbox或网页界面 登陆管理ros

谢谢！

crc8

用的是2.9.27

可以在winbox里的user那里设置指定登录 IP，但这样有以下两个问题：

1. 在网内任意客户端使用 MAC 方式仍可正常登录；

2. 在网内任意客户端使用网页浏览器（如IE）仍可打开登录界面，虽然是登录不了。（我不想让其打开此网页）

YAWPYNG

1.在防火牆裡面加一條進來方向的8291 PORT  ALL IP阻擋,然後設置你要允許連進來的IP為"!"
或是做address list名單.

2.或是把WINBOX 的8291改換為其他PORT.

2.如果你要連進來的IP經常變動的話,考慮改用VPN連線管理ROS.或者是搭配ROS防火牆設一個自動加入address list名單的規則,找一個較多PORT的端口當成通關密碼(例如65XXX)自動讓ROS加入到允許的地址名單內(可以設有效時間).你在瀏覽器網址輸入http://ROSIP:65XXX 這樣就會加入到address list名單了.

crc8

YAWPYNG 发表于 2011-3-21 10:06

                               
登录/注册后可看大图

1.在防火牆裡面加一條進來方向的8291 PORT  ALL IP阻擋,然後設置你要允許連進來的IP為"!"
或是做address l ...

我网段是10.0.0.0/24

ROS地址：10.0.0.8/32

指定登录IP：10.0.0.108/32

我不是很清楚如何导出脚本，我尝试用了一下export导出防火墙的设置如下：（这样设置还是没成功）

1. # mar/21/2011 10:32:59 by RouterOS 2.9.27
   
2. # software id = 0QZZ-D0T
   
3. #
   
4. / ip firewall nat
   
5. add chain=srcnat src-address=10.0.0.0/24 action=masquerade comment="" \
   
6.     disabled=no
   
7. / ip firewall connection tracking
   
8. set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
   
9.     tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
   
10.     tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
    
11.     tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    
12.     udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
    
13.     tcp-syncookie=no
    
14. / ip firewall filter
    
15. add chain=input in-interface=lan src-address=0.0.0.0 dst-address=10.0.0.8 \
    
16.     protocol=tcp dst-port=0-65535 dst-address-list=10.0.0.8/32 action=reject \
    
17.     reject-with=icmp-network-unreachable comment="" disabled=no
    
18. / ip firewall service-port
    
19. set ftp ports=21 disabled=no
    
20. set tftp ports=69 disabled=no
    
21. set irc ports=6667 disabled=no
    
22. set h323 disabled=yes
    
23. set quake3 disabled=no
    
24. set gre disabled=yes
    
25. set pptp disabled=yes
    

复制代码

zhjchina

crc8 发表于 2011-3-21 10:04

                               
登录/注册后可看大图

用的是2.9.27

可以在winbox里的user那里设置指定登录 IP，但这样有以下两个问题：

第一个问题可以关闭 MAC server来解决

第二个问题是可以通过 ip-> service 关闭web 80端口访问。

yuefy

楼上正解，第一关闭用MAC服务  (MAC SERVER)  阻止用mac地址登陆，
第二  ip--service    关团不要服务，winbox服务设置你要登录的IP

macxie

在user那里可以设置ip的。。。

crc8

zhjchina 发表于 2011-3-21 21:27

                               
登录/注册后可看大图

第一个问题可以关闭 MAC server来解决

第二个问题是可以通过 ip-> service 关闭web 80端口访问。

感谢，我要的就是这个效果。

再次感谢！！！

cy130345520

正好学习一下,

tancunf4

我在WINBOX 的8291改換為1980. 我用 changeip.net:1980 这们登陆不了```是不

是格式错了