發掘路由器的功能 用路由器管理局域網

　在看了《電腦報》2004年第5期G8版中的《用"MAC地址控制"治理局域網用戶》一文後,大家可能對SOHO路由器的治理功能有了初步了解。其實SOHO路由器的治理功能還有很多,我們還可以利用級別更高的封包過濾功能來進行日常治理。下面筆者仍以TP-Link的TR-400+爲例來進行介紹(市場上幾乎2/3的SOHO路由器都具有該功能,如UCOM、AboveCable、TENDA、金浪等)。 　　 　　在封包過濾中有流入封包過濾和流出封包過濾兩種,其中流出封包過濾應用于所有從網絡中發出的數據,而流入封包過濾僅應用于分布式服務器或DMZ主機。 　　 　　現在我們假設局域網中建立了一個WWW服務器(192.168.123.1/80),一個Termianl Service服務器 192.168.123.2/3389　。而我們要求實現: 　　 　　①禁止所有主機訪問IP爲202.108.37.XX的網站。 　　②禁止所有主機使用QQ。 　　③禁止IP地址爲192.168.123.10~192.168.123.20間的10台主機訪問Internet。 　　④禁止IP地址爲 192.168.123.100~192.168.123.200間的100台主機去訪問NEWS的服務。 　　⑤禁止網絡上的一個IP(1.2.3.4)去訪問局域網內的Web服務器。 　　⑥答應網絡上的一個IP(1.2.3.5)去訪問局域網內的Termianl Service服務器。 　　 　　實現方法 　　進入路由器設置界面,在"流出報文過濾"框中,將流出過濾選擇爲"啓用",並選擇"除匹配下列規則的報文,答應其它所有報文通過"。假如選擇了"除匹配下列規則的報文,拒絕其它任何報文通過",效果就完全相反了。接著將需要禁止的服務或IP地址一一添加到列表框中即可(如圖),最後點擊"保存"按鈕。 　　 　　進入"流入報文過濾"框,選擇"啓用",並選擇"除匹配下列規則的報文,拒絕其它任何報文通過",接著在列表框中輸入答應的服務或IP地址。現在我們所要實現的一系列禁止或答應操作都可以通過SOHO路由器的封包過濾功能來完成了。 　　 　　功能延伸 　　路由器還可以讓我們指定每一條規則的有效時間,例如你要使單位內的員工平時只能收發郵件不能浏覽網頁,但1800下班後就不受該限制,就可以使用這項功能。下面我們舉例說明。 　　 　　假設我們不答應IP爲192.168.123.1~192.168.123.200間的200台主機在上班時間浏覽網頁,但答應天天1800後可以浏覽網頁。 　　 　　首先,進入"時間表規則"設置框,新增一條規則,規定有效時間爲每日900至1800,並將此規則的名稱定爲lizi。 　　 　　再進入"流出報文過濾"設置界面,設置拒絕IP爲192.168.123.1~192.168.123.200間的200台主機浏覽網頁,在下方的"時間表規則"下拉框中將規則設定爲"lizi",並選擇把它複制到ID 1中去。現在IP爲192.168.123.1~192.168.123.200間的200台主機1800後就可以浏覽網頁了。