HQY 一个和谐有爱的空间

1、有些企业用上网行为禁止上网，最有名的产品是深信服，可是深信服每年都要续费，一般企业也不买。而且前些年产品的品控很差，抓了一波人后现在的产品质量好些

2、IPguard，IPguard作为终端安全软件，可以限制你的电脑上的软件安装和运行，还有网页访问，也是一种方法，但是一般企业不用ipguard

3、还有就是防火墙交换机写ACL控制上网，最常见的就是设置一个guest网络禁止访问内网，可以访问外网；或者可以访问内网，不允许访问外网

电脑不配置DNS这种方法是行不通的，记住，只是暂停了解析，但是IP访问还是OK的，但可以防住大部分人了。

方法一、直接在上网的防火墙或者路由器上静态路由器加NULL0，以下命令在H3C、华为、思科等很多品牌设置上都行

 ip route-static 192.168.11.114 32 NULL0

 ip route-static 192.168.11.163 32 NULL0

这两个IP通过路由器或者防火墙上网就嗝屁了，上不了的、最简单

方法二、在防火墙或者路由器上配置ACL，举例：以下图片为深信服的防火墙

方法三、在核心交换机上配置ACL，禁止它访问外网，一般为生产企业机台或者研发电脑，只允许内部连网，不允许连接上网，防止中毒

先配个ACL，

acl number 3505

 description DenyDevice_Connect_to_Internet_Network

 rule 4 permit ip destination 192.168.0.0 0.0.255.255

 rule 5 permit ip destination 10.0.0.0 0.255.255.255

 rule 6 permit ip destination 172.16.0.0 0.15.255.255

 rule 10 deny tcp

 rule 11 deny udp

 rule 1000 deny ip

在VLAN中赋予ACL

interface Vlan-interface303

 ip address 10.13.3.254 255.255.255.0

 packet-filter 3505 inbound

同理：设置guest网络只允许上外网，不允许连接公司内网

acl number 3001

 description Deny_GuestNetwork_TO_OfficeNetwork

 rule 10 deny ip destination 10.0.0.0 0.255.255.255

 rule 11 deny ip destination 172.16.0.0 0.15.255.255

 rule 12 deny ip destination 192.168.0.0 0.0.255.255

 rule 99 permit ip

interface Vlan-interface252

 ip address 10.12.6.254 255.255.255.0

 packet-filter 3001 inbound

下流方法：

1、mac-address blackhole 直接断网

2、ip bind mac地址绑一个不存在的IP

泡妞方法：遇到好看的妹妹想泡，记住它的MAC地址或IP，后台给它整一下，造成电脑断网，然后过去帮她修电脑，多整几次。记住是新入职的妹妹，大妈别整，凶的批爆。

搞不存在的IP，一般用下流的方法

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://www.hqyman.cn/post/10941.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~