27
2025
04
15:17:05

防火墙&路由器如何禁止内网IP上外网的几种方法

1、有些企业用上网行为禁止上网,最有名的产品是深信服,可是深信服每年都要续费,一般企业也不买。而且前些年产品的品控很差,抓了一波人后现在的产品质量好些

2、IPguard,IPguard作为终端安全软件,可以限制你的电脑上的软件安装和运行,还有网页访问,也是一种方法,但是一般企业不用ipguard
3、还有就是防火墙交换机写ACL控制上网,最常见的就是设置一个guest网络禁止访问内网,可以访问外网;或者可以访问内网,不允许访问外网
电脑不配置DNS这种方法是行不通的,记住,只是暂停了解析,但是IP访问还是OK的,但可以防住大部分人了。
方法一、直接在上网的防火墙或者路由器上静态路由器加NULL0,以下命令在H3C、华为、思科等很多品牌设置上都行

 ip route-static 192.168.11.114 32 NULL0

 ip route-static 192.168.11.163 32 NULL0

这两个IP通过路由器或者防火墙上网就嗝屁了,上不了的、最简单

方法二、在防火墙或者路由器上配置ACL,举例:以下图片为深信服的防火墙

方法三、在核心交换机上配置ACL,禁止它访问外网,一般为生产企业机台或者研发电脑,只允许内部连网,不允许连接上网,防止中毒

先配个ACL,

acl number 3505

 description DenyDevice_Connect_to_Internet_Network

 rule 4 permit ip destination 192.168.0.0 0.0.255.255

 rule 5 permit ip destination 10.0.0.0 0.255.255.255

 rule 6 permit ip destination 172.16.0.0 0.15.255.255

 rule 10 deny tcp

 rule 11 deny udp

 rule 1000 deny ip

在VLAN中赋予ACL

interface Vlan-interface303

 ip address 10.13.3.254 255.255.255.0

 packet-filter 3505 inbound

同理:设置guest网络只允许上外网,不允许连接公司内网

acl number 3001

 description Deny_GuestNetwork_TO_OfficeNetwork

 rule 10 deny ip destination 10.0.0.0 0.255.255.255

 rule 11 deny ip destination 172.16.0.0 0.15.255.255

 rule 12 deny ip destination 192.168.0.0 0.0.255.255

 rule 99 permit ip

interface Vlan-interface252

 ip address 10.12.6.254 255.255.255.0

 packet-filter 3001 inbound

下流方法:

1、mac-address blackhole 直接断网

2、ip bind mac地址绑一个不存在的IP

泡妞方法:遇到好看的妹妹想泡,记住它的MAC地址或IP,后台给它整一下,造成电脑断网,然后过去帮她修电脑,多整几次。记住是新入职的妹妹,大妈别整,凶的批爆。

搞不存在的IP,一般用下流的方法




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://www.hqyman.cn/post/10941.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:43 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: