IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡管理 → 使用路由器進行上網(wǎng)限制

使用路由器進行上網(wǎng)限制

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

??? 單位外網(wǎng)的規(guī)模不大,幾十臺機器,也沒有什么關鍵應用。說白了,只要別掉線、只要速度說的過去,就一切OK。路由器、交換機、電腦,結構相當?shù)暮唵?。在路由器上作些相關的設置,就基本上能滿足需要了。

??? 說到進行上網(wǎng)限制,其實我最初并不想這么做。那時候天還是藍的,水也是綠的,莊稼是長在地里的,豬肉是可以放心吃的,耗子還是怕貓的,結婚是先談戀愛的,理發(fā)店是只管理發(fā)的,藥是可以治病的,醫(yī)生是救死扶傷的,拍電影是不需要陪導演睡覺的,照相是要穿衣服的,欠錢是要還的,孩子的爸爸是明確的,學校是不圖掙錢的,白癡是不能當教授的,賣狗肉是不能掛羊頭的……

??? 要是每個人都能老老實實的遵守規(guī)定,規(guī)規(guī)矩矩的上網(wǎng),哪個網(wǎng)管愿意去做那么多限制,浪費多少腦細胞啊。最初我們的網(wǎng)絡也是一切太平,自從有了BT日子就不太好過了,最近ARP又老是惹麻煩,非逼我作限制不可。

??? 費話說了半天,趕緊說說具體的做法:

??? 單位使用的是TPlink的一款企業(yè)寬帶路由器,客戶端自動獲取地址,之前手工登記了全部客戶端的MAC地址。

??? 一、DHCP設置靜態(tài)地址分配

??? 目的是將每臺機器的ip固定下來,考慮到將來可能會對客戶機的ip參數(shù)進行修改,為避免幾十臺機器每臺都要去做修改,所以并沒采用手工指定ip的方式。采用DHCP+靜態(tài)地址分配,既保留了DHCP的靈活性和可管理性,又使某特定MAC每次都可優(yōu)先獲得同一個IP。

??? 二、設置IP地址過濾和MAC地址過濾

??? 只允許DHCP靜態(tài)地址分配里的那些IP訪問網(wǎng)絡,防止客戶端私自指定其它IP上網(wǎng),逃避追查。

??? 只允許所有登記的MAC訪問網(wǎng)絡,防止客戶端私接其它電腦、或者更換網(wǎng)卡、甚至修改本機MAC,逃避追查。

??? 三、進行IP與MAC綁定

??? 將路由器的ARP表設置成靜態(tài),防止ARP欺騙,客戶機的正確MAC信息不會被篡改。將IP與MAC的對應關系固定下來,這樣還能防止客戶端盜用別人的IP上網(wǎng)。

??? 一臺客戶機的MAC地址在允許訪問的列表內,他手工指定了一個原本給別人預留的IP,此IP也在允許訪問的IP列表內。但是他還是上不了網(wǎng),IP與MAC的對應關系不對,路由器會認為他在進行ARP欺騙,阻止他的數(shù)據(jù),同時將信息記入日志。

??? 四、在客戶機上綁定路由器的IP和MAC信息

??? 目的是防止客戶機受到ARP欺騙,網(wǎng)關的正確MAC信息不會被篡改。方法是建立一個批處理文件:
arp -d
??? arp -s 網(wǎng)關IP? 網(wǎng)關MAC

??? 將此文件設置成開機自動運行。

??? 完成以上工作,ARP病毒就不怕了,可是BT等p2p軟件的影響依然存在。可氣的是這臺三千多地路由器居然不帶針對IP的QoS,沒法限制單個IP的帶寬和連接數(shù),郁悶死了。只能通過IP規(guī)則間接的實現(xiàn)控制p2p的目的了。

??? 先說說指導思想,兩種:1、全世界都是好人,只需要限制個別的壞人;2、全世界都是壞人,只排除個別的好人。這里是把端口比作了好人和壞人。p2p的端口太多了,有些還是隨機的,而且我們也不可能了解所有的p2p軟件。只好采用第二種思想,所有的端口都是壞人,我只允許個別的好人訪問,比如打開53、80、443等。

??? 經過這樣設置現(xiàn)在的情況是,常用的業(yè)務能夠正常使用,不在端口列表里的軟件不能訪問網(wǎng)絡。軟件不能用同事就會來找我,這時候我檢查這個軟件是不是p2p的,會不會影響網(wǎng)絡,如果沒問題給他加上這個端口就OK了。這樣將原本被動的工作變成主動了,不用再跑來跑去勸說他們別用這個別用那個,現(xiàn)在他們想用只能主動過來找我。我們干網(wǎng)管的也不能太累了,多動動腦子,形勢就大不一樣了,呵呵!

??? 以上就是我對路由器的一些設置,其實這樣的設置也是有問題的,還是有空子可鉆。誰知道這篇文章會不會有同事看到,所以我還是不說了,其實也很簡單的。對于IP規(guī)則設定,副作用也挺大的,大部分軟件不能正常使用了,而且這樣做也不能100%限制掉p2p?,F(xiàn)在發(fā)現(xiàn)至少PPLive還是能用,就是慢了許多。在域名限制里禁掉pplive.com可能效果更明顯一點,但是咱也不能做得太絕了,只要不會對網(wǎng)絡正常運行帶來太大的影響就行了,關鍵是維護絕大多數(shù)人的利益,不能讓個別人搶了帶寬。最后注意一點,在路由器里關掉upnp功能,對限制p2p有一定的作用。

關鍵詞標簽:路由器,上網(wǎng)限制

相關閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設置地址 路由器地址大全-各品牌路由設置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設置地址 騰達路由器怎么設置?騰達路由器設置教程 ADSL雙線負載均衡設置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量