接到朋友的要求,需要将公司前台电脑只允许访问公司网站,而不让访问其他网站及qq聊天。
在VMware测试过程中,限制前台电脑访问公司网站折腾了很久,这里提供两种防火墙规则组合。
第一种组合是3条规则:
[admin@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 company 11.123.234.23
1 company 11.123.234.98
[admin@MikroTik] /ip firewall filter>add chain=forward action=accept protocol=tcp src-address=172.16.100.200 dst-address-list=company dst-port=80,8111
[admin@MikroTik] /ip firewall filter>add chain=forward action=drop protocol=tcp src-address=172.16.100.200 dst-port=80
[admin@MikroTik] /ip firewall filter>add chain=forward action=drop src-address=172.16.100.200 layer7-protocol=qq
解释一下:
因网站可能对应多个外网ip,所以我们使用address-list来组合该网站多个ip,这样方便在防火墙规则里调用。三条规则第一条是允许172.16.100.200(内网计算机ip)访问公司网站(调用address-list里的ip,具体见address-list里的内容),端口可以是你要访问公司网站的某一些特定的业务(比如有安全认证的应用);第二条是禁止172.16.100.200访问所有的80端口地址(http服务端口,作用即是不让访问其他网站80端口,此时是可以ping通的);第三条就是调用L7-protocol 7层协议包里的内容,禁止访问qq。