求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈

jamson

求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈

公司内部普通员工是不允许上网的.在IP-arp 列表中.我都已经绑定了所有的IP和MAC地址 ..
然后我把不允许上网的客户机的IP, 点叉叉.它就不能上网了.
现在我的问题是.如何让这些不能上网的机器可以访问一个外部地址的80,25,110 端口啊!?~?


或者换一种方式来禁止他们上网也行啊.拜托了大家了哈

jamson

自己顶上去

tim97803

假设可以访问的外部地址为:www.126.com,如果是固定IP的（61.177.95.155)就更方便了.
那些不能上网的电脑为：disablePC,单机以192.168.0.4。下面以80为例，如果没必要禁止他在其它邮箱用25，100端口收发邮件的话，个人认为只需控制80端口就可以了。
/ip f f
add chain=forward protocol=tcp dst-port=!80 action=accept comment="open!80" disabled=no
（这里先加一条开放非80端口，是因为下一步我们要禁止所有非80的端口。如果没有这一条，下面的一禁止了就连DNS什么的都连不上了）
add chain=forward src-address=192.168.0.4 dst-address=!61.177.95.155 protocol=tcp dst-port=80 action=drop disabled=no
(禁止192.168.0.4访问IP 61.177.95.155的80端口以外的地址及端口。也就是只能访问61.177.95.155 80的80端口）

下面是数据的模拟
192.168.0.4 访问 61.177.95.155 端口 25，53，80，110，139，445
经过第一条规则后
25，53，80，110，139，445
经过第二条规则后
25，53，80，110，139，445
如果没经过第一条规则就只有80能通过

192.168.0.4 访问 61.177.95.100 端口 25，53，80，110，139，445
经过第一条规则后
25，53，80，110，139，445
经过第二条规则后
25，53，110，139，445
如果没经过第一条规则就什么都不能通过

weikun444

NAT里只转发指定IP的指定端口即可.别忘了转发DNS.