大概是个博客

公司网关用的一台D-LINK DI-604LB+多WAN口路由器，老夫来的时候就已经有了，既然有了个这么猛的玩意，也就不能浪费了，原本准备换ISA的，可惜那台IBM X3400只有一张网卡，再去申请一个麻烦再个浪费，只能尽最大可能让这台DI-604LB+发挥作用了。
之前别人做网络工程的随便设置了一下，启动了DHCP服务，结果局域网都自动获取的IP，等到老夫来的时候就都动态IP了，头疼，一个一个改麻烦，虽然电脑不多，但容易引起冲突，楼上楼下跑也累，所以偷个懒，关闭路由器的DHCP服务，在另外一台服务器上启用DHCP服务，规划好IP段，用macscan配合Active wall免费版获取到所有人的MAC地址，在DHCP里保留所有IP，把租期改短，这样第二天所有IP就固定了。
开始DI-604LB+的防火墙配置，现在“高级配置”的“ARP绑定配置”里绑定所有IP与MAC，然后打开“防火墙配置”，找到LAN0端口的IN方向，点击FW LAN0 IN进去，现在开始添加规则集。这玩意一开始搞得有点摸头不知脑的，弄明白后就简单了。
右边有注意提示：过滤列表是一个有序的语句集，它通过自上而下的顺序来匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。判断规则是如果通过了一个访问列表中的某一项规则，将停止匹配规则，不再试图与它以后的规则比较。那就与ISA的规则一样了。
现在需求是这样的，所有主管级别以上的人员不限制，其他人员保留收发邮件的权限。因为防火墙启用后默认是拒绝所有IP所有端口到所有IP所有端口的通讯，所以最后第一条添加规则允许所有人访问25端口和110端口，再前面则是允许主管级别的访问。
这个D-Link DI-604LB+的防火墙功能也很烂，并没有ISA那样的端口集，只能一个一个添加了，添加，状态permit，协议TCP，源端IP地址IP Any，源端端口号Any，目的端IP地址IP Any，目的端端口号eq(=) 25，时间段看要不要定义，不定义就不选了，插入位置最后，提交，返回，看到“访问列表信息”里已经有一条规则了，点这条规则最右边的“编辑”，然后把顶上的修改点到添加，把端口号25改为110再提交，这样第二条规则也搞定了，然后再添加主管级别的规则，添加，状态permit，协议IP，源端IP地址选IP Address添加要允许的IP，也可以选择IP Range添加要允许的IP段，其他默认，插入位置改为最前，提交，然后接下来按照之前的方法添加其他要允许的IP。
添加完毕后点返回，然后勾上FW LAN0 IN后面的勾，点应用，这样规则就应用了，嘿嘿，如果你没有把自己的IP添加到允许里面，是不是连路由器web界面都打不开了？所以要记得。这时候如果自己被禁止了，可以到你刚才允许的电脑去改防护墙规则，如果设置错了，大家都不能上网了，关掉路由器重开就可以了，因为这时候规则还没被保存，重启规则就丢失了，重新添加规则就OK了。那确定已经设置对了，点开“系统管理”，“配置管理”里面，点保存即可。
至于其他的细化配置，照着这个思路去配置即可，也可以在“基本配置”的“时间段配置”里设置时间段，再在防火墙配置里启动时间段的某些功能。
D-LINK DI-604LB+这玩意看起来难，稍微琢磨一下又不难，但那些乱七八糟的功能老夫还是有好多都没摸清楚，改天慢慢折腾吧。