路由防火墙

admin管理员组

文章数量:1536733

2024年1月23日发(作者：)

路由器防火墙功能应用实例

企业用户使用路由器共享上网，常常需要对内网计算机的上网权限进行限制，如限制某些计算机不能上网，限制某些计算机可以收发邮件但是不可以浏览网页，限制计算机不能访问某个站点，而一些计算机有高级权限，不受任何限制。路由器具有防火墙功能，功能可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理员工上网，能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问； “MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问；“域名过滤”可以限制局域网中的计算机对某些网站的访问。

下面以TL-R490路由器为例，说明设置的方法。局域网内有8台计算机，计算机1（IP:192.168.1.2）不能上网，计算机2（IP:192.168.1.3）可以收发邮件但是不可以浏览网页，计算机3（IP:192.168.1.4）不能访问这个站点（219.134.132.61），计算机4（IP:192.168.1.5）不可以收发邮件但是可以浏览网页，其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置，因为对于其他的计算机是不做任何限制，所以把缺省过滤规则设置为允许通过；如果不允许其他计算机上网，那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的)：

上面的第一条条目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址，这样电脑才能够正常连接，当然本例不添加也行，因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。

对于限制某些计算机不能上网的情况，除了上面介绍的“数据包过滤”设置外，还可以通过“MAC地址过滤”方式实现。

FTP端口服务对应表： --21 ， HTTP（浏览网页）---80，SMTP（发送邮件）---25，POP（接收邮件）----110，DNS(域名服务)--------53。

其他配置

1） 安全设置

当可以正常上网了，可能出于不同的原因，您想要对内部局域网的电脑上网操作，开放不同的权限，比如只允许登录某些网站、只能收发E-mail、一部分有限制、一部分不限制；用户在这方面需求差异较大，有些通过路由器可以实现，有些用路由器是没办法完全实现的，比如“IP地址和网卡地址绑定”这个功能，路由器不能完全做到；

我们上网的操作，其实质是电脑不断发送请求数据包，这些请求数据包必然包含一些参数比如：源IP、目的IP、源端口、目的端口等等；路由器正是通过对这些参数的限制，来达到控制内部局域网的电脑不同上网权限的目的；

下面我们会列举具有代表性的配置举例，来说明路由器“防火墙设置”、“IP地址过滤”这些

功能是怎样使用的？列举的事例以及上面红字部分的解释，都是为了帮助您尽可能理解各个功能参数的含义，只有理解了参数的含义，您才可以随心所欲的配置过滤规则，迅速实现您预期的目的，而不会因为配置错误导致不能使用这些功能，也不会因为由于得不到及时的技术支持而耽误您的应用；

上图是“防火墙设置”页面，可以看到这是一个总开关的设置页面，凡是没有使用的功能，就请不要在它前面打钩选中；

除了总开关，再有就是两个过滤功能“缺省过滤规则”的确定，何谓缺省过滤规则？我们在具体规则设置页面里，定义一些特定的规则，对符合条件的数据包进行控制处理，而这儿的“缺省规则”顾名思义，限定的是我们定制的规则中没有涉及到不符合的数据包该怎么办？这个应该不难理解吧；

一个数据包，要吗符合我们设定的规则，要吗不符合我们设定的规则但同时必定符合缺省规则；

上图就是“IP地址过滤”页面，我们可以看到缺省的过滤规则，可以填加新条目；

上图就是详细具体的规则设置页面，各项参数如上；

我们配置一条规则：限制内部局域网的一台电脑，IP地址192. 168. 1. 10，只让它登录这个网站，别的任何操作都不行；

上面这条规则可以解读为：内网电脑往公网发送数据包，数据包的源IP地址是要限制的这台电脑的IP地址192. 168. 1. 10，数据包目的IP地址202. 96. 137. 26 ，也就是这个域名对应的公网IP地址，广域网请求因为是针对网站的限制，所以端口号是80 ；规则设置好界面如下图：

可以在配置好的规则页面清晰看到，规则生效时间是24小时，控制的对象是IP地址为 192. 168.

1. 10这台主机，局域网后面的端口默认不要填，广域网IP地址栏填入的是对应的公网IP地址，端口号因为是网站所以填80，协议一般默认选择ALL就行了；是否允许通过呢？因为缺省规则是禁止不符合设定规则的数据包通过路由器，所以符合设定规则的数据包允许通过，规则状态为生效的；

上面这幅图片新加了第二条规则，请问第二条规则设定的是什么数据包？

如果您的规则中涉及对网站进行限制，也就是目的请求端口是80的，则应该考虑对应的将53这个端口对应数据包也允许通过，因为53对应的是去往“域名解析服务器”的数据包，用于将域名（如）和IP地址（如202. 96. 137. 26）对应的，所以必须开！

配置“IP地址过滤规则”这个功能用来实现您的一些目的，最主要的是分析都要做那些控制，然后选择怎样的缺省规则？配置怎样的过滤规则？如果您决心了解这个功能的真正作用，通过仔细参考资料和在路由器上反复的实验，您一定可以完全掌握的！

路由器如何限制内网电脑使用QQ

QQ客户端登录的时候使用的外网端口号有UDP端口号8000，TCP端口号80和443三个端口，一般来说不可能直接把80端口也屏蔽掉，除非您不想浏览网页。所以我们的处理思路中是使用域名过滤、IP过滤这两种技术结合起来。考虑到屏蔽8000和443端口对一般用户影响不大，我们就直接把它们屏蔽掉了，对于使用80端口的QQ服务器，只能通过在广域中地址栏中过滤QQ服务器IP地址的方法来屏蔽。

这次我们测试的QQ版本有2004、2005两个版本，由于目前腾迅公司已经不允许2003版本QQ客户端的登录，所以实验中没

有使用它。

通过对QQ连接信息的查看，目前QQ能够登录的服务器的域名信息如下：

UDP登录服务器：



















TCP登录服务器













所以我们在路由器作了如下限制：

图1防火墙设置

确认防火墙、IP过滤、域名过滤都开启着。我们再看域名过滤的具体设置：

图2域名过滤设置

通过上面的设置我们可以把所有和QQ有关的域名请求都予以过滤。

我们再看看IP过滤的设置：

图3IP地址过滤设置

上图3是“IP地址过滤”页面的抓图，前面两条先屏蔽了8000和443两个端口，剩下的80端口的服务器只能通过过滤服务器IP地址的方法屏蔽掉。下面的三条IP地址过滤规则的作用就是将发往219.133.38.29、219.133.38.30、219.133.38.232这三个QQ服务器的数据包禁止掉了！那么这三个服务器的IP地址是怎样得来的呢？使用80端口的QQ服务器有多少呢？它们的IP地址又都是多少呢？后面会介绍如何查看QQ登录时使用的服务器IP地址。当我们发现了新的可以登录的服务器IP地址，需要自己再继续添加过滤条目。

下面说明一下上图中这三个QQ服务器的地址是怎么得来的？

我们按照图2中所示的方法使用“域名过滤”封锁掉一部分QQ服务器，接着如图3所示，在“IP地址过滤”页面最上面的两条规则中“禁用443和8000端口”后，发现内网电脑还是可以登录QQ的，那说明连接的服务器使用的是80端口提供服务，网络管理员可以在QQ2005的“登录设置”页面查看当前客户端登录的QQ服务器的IP地址，过程就这么简单。

试验中找到的三个服务器的IP地址（219.133.38.29、219.133.38.30、219.133.38.232）都被封锁了，但是QQ2005又一次成功登录，于是继续打开QQ2005的“登录设置”页面如下图：

图4QQ登录设置界面

从图4中可以看到，QQ2005又连接了新的服务器，IP地址是219.133.49.5 ，连接的是80端口，没有关系，把这个新发现的服务器IP地址也加入到“IP地址过滤”中去就可以了。就这样找到一个新的服务器IP地址，添加到“IP地址过滤”中把它禁止掉！

有些用户会担心，“IP地址过滤”规则的可设定条目数是有限的，可设定条目数不够怎么办？不用担心，因为我司的宽带路由器“IP地址过滤”条目在设置的时候，“局域网IP地址/广域网IP地址”这两个参数都是可以输入一段IP地址的，比如我们上面发现的四个服务器IP地址可以合并为下面的两个条目：

219.133.38.0-219.133.38.255

219.133.49.0-219.133.49.255

或者还可以把上面的两段地址继续合并为下面更大的一段：

219.133.38.0-219.133.49.255

通过这样设置IP地址段，足够将所有的使用80端口的QQ服务器IP地址囊括！需要做的只是下面的操作循环：使用QQ2005成功登录——>发现新的服务器IP地址——>设定“IP地址过滤”规则禁止，重复直到QQ客户端再也不能连接到服务器。

上面的操作已经可以屏蔽QQ登录，如果您发现在这样操作后出现了一些异常情况，请继续阅读下面的内容：

当我们合并了QQ服务器IP地址并成段过滤掉以后，会不会把一些正常的不是QQ服务器的IP地址也封锁掉了？这个不用太担心，我们屏蔽的地址段和互联网可用的地址段相比来说，只属于非常小的一段，发生这种情况的可能性极小，如果万一真的发生了“需要连接的目的IP地址也被封锁”这种情况，可以简单把我们上面限制的地址段拆分成多段，不包括我们需要访问的IP地址就可以了。

我们在上面的指导中默认是把所有的443端口的数据包都禁止掉了，也就是不论连接那个服务器，只要目的端口是443端口一概禁止。如果您需要一些443端口的访问，可以在屏蔽443端口条目的“广域网IP地址”这一栏，加入IP地址段限制，如219.133.38.0-219.133.49.255试试，或者采用分段的方法，将自己需要连接的那个IP地址不包括即可。

补充：因为MSN运行过程也会使用到443端口，所以对443端口的封锁会导致MSN不能正常使用，如果对内网的上网权限QQ和MSN要区别开来的话，在上面的配置过程当中可以不封锁443端口，同样可以对QQ有效封锁。

上面的配置是结合“端口”、“域名”和“服务器IP”综合封锁，还有一种简单的思路就是“将发往QQ服务器IP的数据包全部封锁”，这样同样可以封锁QQ ，配置思路比较简单。

本文标签： 过滤IP地址规则服务器