D-LINK DI-604LB+路由器的防火墙配置
公司网关用的一台D-LINK DI-604LB+多WAN口路由器,老夫来的时候就已经有了,既然有了个这么猛的玩意,也就不能浪费了,原本准备换ISA的,可惜那台IBM X3400只有一张网卡,再去申请一个麻烦再个浪费,只能尽最大可能让这台DI-604LB+发挥作用了。
之前别人做网络工程的随便设置了一下,启动了DHCP服务,结果局域网都自动获取的IP,等到老夫来的时候就都动态IP了,头疼,一个一个改麻烦,虽然电脑不多,但容易引起冲突,楼上楼下跑也累,所以偷个懒,关闭路由器的DHCP服务,在另外一台服务器上启用DHCP服务,规划好IP段,用macscan配合Active wall免费版获取到所有人的MAC地址,在DHCP里保留所有IP,把租期改短,这样第二天所有IP就固定了。
开始DI-604LB+的防火墙配置,现在“高级配置”的“ARP绑定配置”里绑定所有IP与MAC,然后打开“防火墙配置”,找到LAN0端口的IN方向,点击FW LAN0 IN进去,现在开始添加规则集。这玩意一开始搞得有点摸头不知脑的,弄明白后就简单了。
右边有注意提示:过滤列表是一个有序的语句集,它通过自上而下的顺序来匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。判断规则是如果通过了一个访问列表中的某一项规则,将停止匹配规则,不再试图与它以后的规则比较。那就与ISA的规则一样了。
现在需求是这样的,所有主管级别以上的人员不限制,其他人员保留收发邮件的权限。因为防火墙启用后默认是拒绝所有IP所有端口到所有IP所有端口的通讯,所以最后第一条添加规则允许所有人访问25端口和110端口,再前面则是允许主管级别的访问。
这个D-Link DI-604LB+的防火墙功能也很烂,并没有ISA那样的端口集,只能一个一个添加了,添加,状态permit,协议TCP,源端IP地址IP Any,源端端口号Any,目的端IP地址IP Any,目的端端口号eq(=) 25,时间段看要不要定义,不定义就不选了,插入位置最后,提交,返回,看到“访问列表信息”里已经有一条规则了,点这条规则最右边的“编辑”,然后把顶上的修改点到添加,把端口号25改为110再提交,这样第二条规则也搞定了,然后再添加主管级别的规则,添加,状态permit,协议IP,源端IP地址选IP Address添加要允许的IP,也可以选择IP Range添加要允许的IP段,其他默认,插入位置改为最前,提交,然后接下来按照之前的方法添加其他要允许的IP。
添加完毕后点返回,然后勾上FW LAN0 IN后面的勾,点应用,这样规则就应用了,嘿嘿,如果你没有把自己的IP添加到允许里面,是不是连路由器web界面都打不开了?所以要记得。这时候如果自己被禁止了,可以到你刚才允许的电脑去改防护墙规则,如果设置错了,大家都不能上网了,关掉路由器重开就可以了,因为这时候规则还没被保存,重启规则就丢失了,重新添加规则就OK了。那确定已经设置对了,点开“系统管理”,“配置管理”里面,点保存即可。
至于其他的细化配置,照着这个思路去配置即可,也可以在“基本配置”的“时间段配置”里设置时间段,再在防火墙配置里启动时间段的某些功能。
D-LINK DI-604LB+这玩意看起来难,稍微琢磨一下又不难,但那些乱七八糟的功能老夫还是有好多都没摸清楚,改天慢慢折腾吧。
2009/12/22 00:46:44
哈哈.终于找到了~~ 谢谢