goingchan 发表于 2004-4-4 23:26:24

在局域网单独禁止1个IP上网,应该如何设置IP过滤?

。。。你怎么只看例子。。。永远也学不到东西的。。。那帖子有详细每一项的说明。。。
action 当然是deny了。。
方向outgoing
接口public
Src IP Address eq 要禁的IP

cainiao 发表于 2004-4-4 23:29:33

在局域网单独禁止1个IP上网,应该如何设置IP过滤?

我是菜鸟,说得不对别骂我。
加一条:src ip address:   eq 192.168.1.6
      dest ip address:   any
               protocol:   tcp
               source port:any
                  dest port:eq 80
             tod rule status:enable
仅仅参考啊。

andyzoo 发表于 2004-4-5 00:59:36

在局域网单独禁止1个IP上网,应该如何设置IP过滤?

下面引用由goingchan在 2004/04/04 11:26pm 发表的内容:
。。。你怎么只看例子。。。永远也学不到东西的。。。那帖子有详细每一项的说明。。。
action 当然是deny了。。
方向outgoing
接口public
...

.......................
全局设置为页面上部四个下拉菜单,分别是Security Level、Private Default Action、Public
         Default Action和DMZ Default Action,分别的含义如下:
         ·Security Level:
         用来设定哪一种安全级别的IP过滤规则有效。例如:当High级别被选择,则仅仅安全级别为高的规则有效
,如None被选择,IP过滤将被禁止。
         ·Private/Public/DMZ Default Action:
         用来设定Private/Public/DMZ三种类别接口的缺省行为(允许/拒绝),这三种接口类型可以在创建接口(如
         PPP接口等)时被设定。
         (1)Public接口一般用于连接Internet。PPP、EoA和IPoA一般都是Public接口。
         在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像,除了在其他IP过滤规则中被允许的规则,其他所有从外网发起的访问内网(你的局域网)的请求都将被拒绝(被Public接口丢弃)。
         (2)Private接口用于连接你的局域网(modem的以太口),在Private接口上收到的数据包几乎不受到防火墙
         限制,因为数据方向都是在你的局域网里。典型的,由内网发起的访问Internet的请求都是被允许的。
         (3)DMZ(非军事区)涉及到公网用户访问内网服务器(虚拟服务器)的问题,默认这种访问是被禁止的。
         二、添加新的IP过滤规则
         1.在IP过滤设置主页面内,单击“添加”按钮,将显示规则添加页面。
         2.添加页面有如下显示:
         ·Rule ID:每一个规则都有一个规则ID,这类似于NAT规则的规则ID,ID号越小优先级越高。建议使用5、10这样
         的数字,以便今后插入新的规则。
         ·Action:定义本规则被匹配时的行为,即允许/拒绝。
         ·Direction:定义数据方向,即incoming/outgoing(入站/出站)。
         ·Interface:定义将被使用此规则的接口(如PPP、EoA、IPoA、eth-0)。
         ·In Interface:这个选项仅在数据方向是outgoing时才有效,所有数据都将被转发到前面定义的那个接口上
         ·Log Option:启用日志选项
         ·Security Level:这个安全级别用来定义这个规则的级别。当全局配置里的安全级别与这个规则级别相符时 ,该规则将被启用。
         ·Black List Status:用来定义,是否将违反规则的ip地址加入Black List(黑名单)。
         ·Log Tag:定义最多16个字符,在日志中标明这个规则项的事件。
         ·Start/End Time:定义规则一天内的时间范围。
         ·Src IP Address:定义受限制的数据通信的源IP地址(或范围),在下拉菜单中可以选择匹配模式
         *any :任意IP地址
         *It :任何小于被定义IP的地址范围
         *Iteq :任何小于等于被定义IP的地址范围
         *gt :任何大于被定义IP地址的范围
         *eq :等于被定义的IP地址
         *neq :不等于被定义的IP地址
         *range :任何在定义范围内的IP地址
         *out of range :任何定义范围外的IP地址
         *self :ADSL/Ethernet Route自己的IP地址
         ·Dest IP Address:定义受限制的数据通信的目的IP地址(或范围)
         ·Protocol:定义受限制的协议种类,主要有:TCP、UDP、ICMP
         ·Store state:如果这个选项被勾选,则stateful filter将被执行,并且在一个IP会话期间这个规则将被应
         用到定义接口的其他数据方向上
         ·Source Port :受限制主机的端口号(默认状态是无法改变的,除非在“Protocol”选项里选择了TCP或UTP作为协议)
         ·Dest Port:被限制访问的目的地址的端口号(默认状态是无法改变的,除非在“Protocol”选项里选择了TCP或UTP作为协议)
         ·TCP
         Flag:定义规则是否在TCP数据包中含有(SYN)同步信号时才被使用,如此项被选择,则此规则对于已经建立的TCP连接不起作用,而只对建立连接中的TCP数据包有效。
         ·ICMP Type/Code:定义ICMP数据包头中需要匹配的数值(0-255)。
         ·IP Frag Pkt:定义受限制的IP数据包是否包含IP碎片,默认是被忽略(Ignore)的。
         ·IP Option Pkt:定义受限制的IP数据包是否包含IP选项,默认是被忽略(Ignore)的。
         ·Packet Size:定义受限制数据包的大小。
         ·TOD Rule
         Status:定义前面设置的有效时间内,规则是否被匹配。如选择enable,则在规定时间内规则有效,如选择disalbe,则规定时间内规则将不起作用。
         三、应用举例
         §1、禁止访问特定网站:
         假设受限制网站的IP地址为:211.10.68.93(你可以通过ping命令得到某个网站的IP地址,但有的网站如sina、sohu等,同一个域名会对应几个IP地址,这时就会比较麻烦。不过好在这些网站大多都是不需要被限制的),内部局域网的IP地址范围是192.168.1.3—254,其中受限制地址为192.168.1.5--20。
         (1)Security Level(安全级别)---和全局设置级别一样的级别
         (2)Src IP Address---------range 192.168.1.5 / 192.168.1.20
         (3)Dest IP Address---------eq 211.10.68.93
         (4)Protocol------------TCP
         (5)Source Port----------any
         (6)Dest Port-----------HTTP(或80)
         (7)TOD Rule Status--------enable
         没有涉及到的选项默认就可以了。这样192.168.1.5--20的主机就无法访问http://211.10.68.93了。
         §2、禁止使用OICQ:
         由于腾讯服务器有多个,所以要设置多个规则才行。为方便大家使用,我把IP地址列在了下面,有变动的话,不要怪我哦^_*
         sz.tencent.com-----------61.144.238.145
         sz2.tencent.com----------61.144.238.146
         sz3.tencent.com----------202.104.129.251
         sz4.tencent.com----------202.104.129.254
         sz5.tencent.com----------61.141.194.203
         sz6.tencent.com----------202.104.129.252
         sz7.tencent.com----------202.104.129.253
         内部局域网的IP地址范围是192.168.1.3—254,其中受限制地址为192.168.1.5--20。
         设置方法:
         (1)Security Level(安全级别)---和全局设置级别一样的级别
         (2)Src IP Address---------range 192.168.1.5 / 192.168.1.20
         (3)Dest IP Address---------range 61.144.238.145 / 61.144.238.146
         (4)Protocol------------UDP
         (5)Source Port----------range 4000 / 8000
         (6)Dest Port-----------range 4000 / 8000
         (7)TOD Rule Status--------enable
         没有涉及到的选项默认就可以了。这样192.168.1.5--20的主机就无法使用OICQ了,因为无法连接服务器了。不过这种配置方式对于qq会员不起作用,因为qq会员使用的服务器是使用http端口的,不过这个IP我就不知道了,你要自己去查:)
         用ql1880做虚拟服务器是如何来设置的?
         选择“Services”
         找到“NAT”设置页面,选择“NAT Options”下拉菜单中的NAT Rule Entry。
         点击“添加”设置一个新规则(rule)
         1.Rule Flavor选择“RDR”
         2.设置一个"Rule ID"。值越小,优先级越高。
         3.IF Name(Interface Name)用来指定一个接口使用这个新的NAT规则
         4.Protocol选择“any”
         5.Local Address From 和 Local address To
         用来设置内网服务器地址,如果只有一台服务器,则可以将两个地址设为相同。
         6.Global Address From 和 Global Address To
         用来设置公网IP地址,这个地址也就是别人访问时用的地址。如果您是pppoe拨号上网的用户,您还要想办法找到电信动态给您分配的ip地址(在路由表里可以看到)。
         7.Destination Port From 和 Destination Port To
         用来设置被用户访问的公网端口,这个端口也就是别人访问时用的端口,如Http:80、Ftp:21等。
         8.Local Port
         用来设置本地内网服务器的端口,这个端口号可由本地服务器设置决定,可以是任一数字,例如可以将IIS服务器的某个站点端口设置为8383,然后再在Local
         Port中填入8383就好了。
我是参考这个设置的!!设了之后我自己的PC都连不到MODEM!

goingchan 发表于 2004-4-5 02:06:06

在局域网单独禁止1个IP上网,应该如何设置IP过滤?

因为你把Private Default Action设为deny了,那帖的第一部分就已经有说明

andyzoo 发表于 2004-4-5 08:31:46

在局域网单独禁止1个IP上网,应该如何设置IP过滤?

OK已经弄好了。。多谢大家的帮忙!!
页: 1 [2]
查看完整版本: 在局域网单独禁止1个IP上网,应该如何设置IP过滤?