当前位置:首页 > 技术支持

路由器进行上网限制的设置方法

时间:2020-09-03 来源:深圳维创信息技术 2

单位外网的规模不大,几十台机器,也没有什么关键应用。

说白了,只要别掉线、只要速度说的过去,就一切OK。

路由器、交换机、电脑,结构相当的简单。

在路由器上作些相关的设置,就基本上能满足需要了。

说到进行上网限制,其实我较初并不想这么做。

那时候天还是蓝的,水也是绿的,庄稼是长在地里的,猪肉是可以放心吃的,耗子还是怕猫的,结婚是先谈恋爱的,理发店是只管理发的,药是可以治病的,医生是救死扶伤的,拍电影是不需要陪导演睡觉的,照相是要穿衣服的,欠钱是要还的,孩子的爸爸是明确的,学校是不图挣钱的,白痴是不能当教授的,卖狗肉是不能挂羊头的…… 要是每个人都能老老实实的遵守规定,规规矩矩的上网,哪个网管愿意去做那么多限制,浪费多少脑细胞啊。

较初我们的网络也是一切太平,自从有了BT日子就不太好过了,较近ARP又老是惹麻烦,非逼我作限制不可。

费话说了半天,赶紧说说具体的做法: 单位使用的是TPlink的一款企业宽带路由器,客户端自动获取地址,之前手工登记了全部客户端的MAC地址。

一、DHCP设置静态地址分配 目的是将每台机器的ip固定下来,考虑到将来可能会对客户机的ip参数进行修改,为避免几十台机器每台都要去做修改,所以并没采用手工指定ip的方式。

采用DHCP+静态地址分配,既保留了DHCP的灵活性和可管理性,又使某特定MAC每次都可优先获得同一个IP。

二、设置IP地址过滤和MAC地址过滤 只允许DHCP静态地址分配里的那些IP访问网络,防止客户端私自指定其它IP上网,逃避追查。

只允许所有登记的MAC访问网络,防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC,逃避追查。

三、进行IP与MAC绑定 将路由器的ARP表设置成静态,防止ARP欺骗,客户机的正确MAC信息不会被篡改。

将IP与MAC的对应关系固定下来,这样还能防止客户端盗用别人的IP上网。

一台客户机的MAC地址在允许访问的列表内,他手工指定了一个原本给别人预留的IP,此IP也在允许访问的IP列表内。

但是他还是上不了网,IP与MAC的对应关系不对,路由器会认为他在进行ARP欺骗,阻止他的数据,同时将信息记入日志。

四、在客户机上绑定路由器的IP和MAC信息 目的是防止客户机受到ARP欺骗,网关的正确MAC信息不会被篡改。

方法是建立一个批处理文件: arp -d arp -s 网关IP 网关MAC 将此文件设置成开机自动运行。

完成以上工作,ARP病毒就不怕了,可是BT等p2p软件的影响依然存在。

可气的是这台三千多地路由器居然不带针对IP的QoS,没法限制单个IP的带宽和连接数,郁闷死了。

只能通过IP规则间接的实现控制p2p的目的了。

先说说指导思想,两种:1、全世界都是好人,只需要限制个别的坏人;2、全世界都是坏人,只排除个别的好人。

这里是把端口比作了好人和坏人。

p2p的端口太多了,有些还是随机的,而且我们也不可能了解所有的p2p软件。

只好采用第二种思想,所有的端口都是坏人,我只允许个别的好人访问,比如打开53、80、443等。

经过这样设置现在的情况是,常用的业务能够正常使用,不在端口列表里的软件不能访问网络。

软件不能用同事就会来找我,这时候我检查这个软件是不是p2p的,会不会影响网络,如果没问题给他加上这个端口就OK了。

这样将原本被动的工作变成主动了,不用再跑来跑去劝说他们别用这个别用那个,现在他们想用只能主动过来找我。

我们干网管的也不能太累了,多动动脑子,形势就大不一样了,呵呵! 以上就是我对路由器的一些设置,其实这样的设置也是有问题的,还是有空子可钻。

谁知道这篇文章会不会有同事看到,所以我还是不说了,其实也很简单的。

对于IP规则设定,副作用也挺大的,大部分软件不能正常使用了,而且这样做也不能100%限制掉p2p。

现在发现至少PPLive还是能用,就是慢了许多。

在域名限制里禁掉pplive.com可能效果更明显一点,但是咱也不能做得太绝了,只要不会对网络正常运行带来太大的影响就行了,关键是维护绝大多数人的利益,不能让个别人抢了带宽。

较后注意一点,在路由器里关掉upnp功能,对限制p2p有一定的作用。

标签:
相关文章

关于

文件加密

在线咨询

加密软件

联系