在看了《电脑报》2004年第5期G8版中的《用"MAC地址控制"治理局域网用户》一文后,大家可能对SOHO路由器的治理功能有了初步了解。其实SOHO路由器的治理功能还有很多,我们还可以利用级别更高的封包过滤功能来进行日常治理。下面笔者仍以TP-Link的TR-400+为例来进行介绍(市场上几乎2/3的SOHO路由器都具有该功能,如UCOM、AboveCable、TENDA、金浪等)。
在封包过滤中有流入封包过滤和流出封包过滤两种,其中流出封包过滤应用于所有从网络中发出的数据,而流入封包过滤仅应用于分布式服务器或DMZ主机。
现在我们假设局域网中建立了一个WWW服务器(192.168.123.1/80),一个Termianl Service服务器 192.168.123.2/3389。而我们要求实现:
①禁止所有主机访问IP为202.108.37.XX的网站。
②禁止所有主机使用QQ。
③禁止IP地址为192.168.123.10~192.168.123.20间的10台主机访问Internet。
④禁止IP地址为 192.168.123.100~192.168.123.200间的100台主机去访问NEWS的服务。
⑤禁止网络上的一个IP(1.2.3.4)去访问局域网内的Web服务器。
⑥答应网络上的一个IP(1.2.3.5)去访问局域网内的Termianl Service服务器。
实现方法
进入路由器设置界面,在"流出报文过滤"框中,将流出过滤选择为"启用",并选择"除匹配下列规则的报文,答应其它所有报文通过"。假如选择了"除匹配下列规则的报文,拒绝其它任何报文通过",效果就完全相反了。接着将需要禁止的服务或IP地址一一添加到列表框中即可(如图),最后点击"保存"按钮。
进入"流入报文过滤"框,选择"启用",并选择"除匹配下列规则的报文,拒绝其它任何报文通过",接着在列表框中输入答应的服务或IP地址。现在我们所要实现的一系列禁止或答应操作都可以通过SOHO路由器的封包过滤功能来完成了。
功能延伸
路由器还可以让我们指定每一条规则的有效时间,例如你要使单位内的员工平时只能收发邮件不能浏览网页,但1800下班后就不受该限制,就可以使用这项功能。下面我们举例说明。
假设我们不答应IP为192.168.123.1~192.168.123.200间的200台主机在上班时间浏览网页,但答应天天1800后可以浏览网页。
首先,进入"时间表规则"设置框,新增一条规则,规定有效时间为每日900至1800,并将此规则的名称定为lizi。
再进入"流出报文过滤"设置界面,设置拒绝IP为192.168.123.1~192.168.123.200间的200台主机浏览网页,在下方的"时间表规则"下拉框中将规则设定为"lizi",并选择把它复制到ID 1中去。现在IP为192.168.123.1~192.168.123.200间的200台主机1800后就可以浏览网页了。