找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3015|回复: 3

[其它] 求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈

[复制链接]
发表于 2008-6-12 09:53:37 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
求助 防火墙如何设置客户机只允许访问某IP的80,25,110端口哈

公司内部普通员工是不允许上网的.在IP-arp 列表中.我都已经绑定了所有的IP和MAC地址 ..
然后我把不允许上网的客户机的IP, 点叉叉.它就不能上网了.
现在我的问题是.如何让这些不能上网的机器可以访问一个外部地址的80,25,110 端口啊!?~?


或者换一种方式来禁止他们上网也行啊.拜托了大家了哈
routeros
 楼主| 发表于 2008-6-12 14:49:17 | 显示全部楼层
自己顶上去
routeros
回复

使用道具 举报

发表于 2008-6-12 15:02:35 | 显示全部楼层
假设可以访问的外部地址为:www.126.com,如果是固定IP的(61.177.95.155)就更方便了.
那些不能上网的电脑为:disablePC,单机以192.168.0.4。下面以80为例,如果没必要禁止他在其它邮箱用25,100端口收发邮件的话,个人认为只需控制80端口就可以了。
/ip f f
add chain=forward protocol=tcp dst-port=!80 action=accept comment="open!80" disabled=no
(这里先加一条开放非80端口,是因为下一步我们要禁止所有非80的端口。如果没有这一条,下面的一禁止了就连DNS什么的都连不上了)
add chain=forward src-address=192.168.0.4 dst-address=!61.177.95.155 protocol=tcp dst-port=80 action=drop disabled=no
(禁止192.168.0.4访问IP 61.177.95.155的80端口以外的地址及端口。也就是只能访问61.177.95.155 80的80端口)

下面是数据的模拟
192.168.0.4 访问 61.177.95.155 端口 25,53,80,110,139,445
经过第一条规则后
25,53,80,110,139,445
经过第二条规则后
25,53,80,110,139,445
如果没经过第一条规则就只有80能通过

192.168.0.4 访问 61.177.95.100 端口 25,53,80,110,139,445
经过第一条规则后
25,53,80,110,139,445
经过第二条规则后
25,53,110,139,445
如果没经过第一条规则就什么都不能通过
routeros
回复

使用道具 举报

发表于 2008-6-12 21:51:52 | 显示全部楼层
NAT里只转发指定IP的指定端口即可.别忘了转发DNS.
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-28 10:57 , Processed in 0.060885 second(s), 15 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表