找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 17220|回复: 26

[其它] 成功了,狂喜,ROS限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址

[复制链接]
发表于 2005-9-8 22:28:42 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
限制网内部分机器只能上2-3个外部网站或只能访问2-3个外部IP地址如何设置呢?思索良久,无对策,有这方面经验的高手能否帮一把!

[ 本帖最后由 3007 于 2005-9-10 10:08 PM 编辑 ]
routeros
发表于 2005-9-8 23:31:22 | 显示全部楼层
只能访问2-3个外部IP地址,太少了。

限制掉所有的用户
/ip firewall rule forward add connect-limt=X protocol=tcp disable=no

终端输入
X =连接数,差不多30左右可以考虑~ 自己调解
--------------------------------------------------------------------------------------------
限制掉单个的用户
/ip firewall rule forward add protocol=tcp tcp-options=syn-only src-address=192.168.1.12/32 connection-limit=50 action=drop

TCP 50个连接限制
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 09:27:58 | 显示全部楼层
非常感谢BH兄的回复,但你理解错了我的意思,我要的是比如我让内网某些用户只访问
211.152.181.18和211.152.181.19,或者新浪网和中华网,其它的统统不能用,并且它必须能
同时访问211.152.181.18和211.152.181.19,我在ROS中发现好象只能限定一个地址或网址。
routeros
回复

使用道具 举报

发表于 2005-9-9 09:53:01 | 显示全部楼层
同样道理,先添加内网允许访问的服务器ip,还有dns得ip,再限制内网访问所有的ip。
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 10:22:35 | 显示全部楼层
原帖由 zhanghui 于 2005-9-9 09:53 AM 发表
同样道理,先添加内网允许访问的服务器ip,还有dns得ip,再限制内网访问所有的ip。

张大哥,能否说的更明白些呢?我的想象是在SOURCE NAT中的ADV项目中的CONNET中添加允许访问的外部地址或网址,但它只能添加一个啊,剩下的怎么弄呢?或者你写一个命令出来我就懂了!非常感谢你恢复我!

[ 本帖最后由 3007 于 2005-9-9 10:24 AM 编辑 ]
routeros
回复

使用道具 举报

发表于 2005-9-9 10:48:25 | 显示全部楼层
先添加允许访问dns的ip:
ip firewall rule forward add dst-address=dns ip/32 dst-port=53 protocol=udp action=accept

再添加允许访问的服务器ip
ip firewall rule forward add dst-address=WEB SRV ip/32 dst-port=80 protocol=tcp action=accept

然后禁止所有的
ip firewall rule forward add action=drop
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 11:00:08 | 显示全部楼层
原帖由 zhanghui 于 2005-9-9 10:48 AM 发表
先添加允许访问dns的ip:
ip firewall rule forward add dst-address=dns ip/32 dst-port=53 protocol=udp action=accept

再添加允许访问的服务器ip
ip firewall rule forward add dst-address=WEB SRV ip/32 ...

我按照你的说法做了,但是好象行不通,第三条规则好象把1和2又都否定了,没有流量!你看图片,就是最后4条规则!

[ 本帖最后由 3007 于 2005-9-9 11:02 AM 编辑 ]
11.gif
routeros
回复

使用道具 举报

发表于 2005-9-9 11:21:17 | 显示全部楼层
这个要放在最后
“ip firewall rule forward add action=drop”

看图,dns的请求发出去了,应该没问题
61.141.193.248应该可以访问的,61.141.193.250因为放在最后,不能访问。

[ 本帖最后由 zhanghui 于 2005-9-9 11:24 AM 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 11:32:58 | 显示全部楼层
原帖由 zhanghui 于 2005-9-9 11:21 AM 发表
这个要放在最后
“ip firewall rule forward add action=drop”

看图,dns的请求发出去了,应该没问题
61.141.193.248应该可以访问的,61.141.193.250因为放在最后,不能访问。


你看另外一张图,因为我的61.141.193.250同时也是在内网,我试了一下ROUTERCLUB的地址,也不行!我PING  DNS也出不去,但我把DROP禁用,DNS马上就通了。如图
22.gif
routeros
回复

使用道具 举报

发表于 2005-9-9 11:39:56 | 显示全部楼层
要PING的话要开icmp才行。
你可以ping 域名看看能不能解析为ip
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 12:00:37 | 显示全部楼层
原帖由 zhanghui 于 2005-9-9 11:39 AM 发表
要PING的话要开icmp才行。
你可以ping 域名看看能不能解析为ip


可以的,我PING域名可以解析为地址。我刚才又试了一种方法,但是速度很慢,看图。最后一条和倒数第二条是同样的原理,但没有流量,但163又可以上。那个202.96.128.143是DNS

[ 本帖最后由 3007 于 2005-9-9 12:04 PM 编辑 ]
33.gif
41.gif
42.gif
44.gif
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-9 17:20:59 | 显示全部楼层
沉了??
routeros
回复

使用道具 举报

 楼主| 发表于 2005-9-10 22:06:47 | 显示全部楼层
非常感谢,我已经完全实现了此功能,不过做了一点点变通,如果不变通是不行的,如图就是再图2中DROP要加上你不希望封杀的IP。对很多人都有用处。尤其是公司用户
1.gif
2.gif
3.gif
routeros
回复

使用道具 举报

发表于 2007-10-18 07:51:58 | 显示全部楼层
如果不是封ip,因为用PPPoE动态拨号,想封用户,怎么办?
routeros
回复

使用道具 举报

发表于 2007-10-21 16:41:26 | 显示全部楼层
我看看
:) :) :) :) :)
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 00:34 , Processed in 0.078460 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表