[求助]如何利用vigor IP filter功能限制部分電腦上網?

**codeblack** · 2009-08-01, 03:39 PM

請教一下各位高手
公司有特定設備需要能夠上網,除此之外,老闆不希望員工用的電腦能上網.
擬用modem內建的IP filter做到這個目標

環境如下:

Vigor 2800 x1
Linksys WRT54G x1 (wifi用)
5port switch x1
能上網設備數台

需求如下:

我會做的設定是將MAC綁定並指派IP (bind ip to MAC)

開放上網 IP 192.168.1.2xx( >以上)
需有連網功能設備如下:
VOIP主機一台
監視器一台
NAS Synology 207一台
開放上網電腦數台

限制上網IP 192.168.1.199( <以下)
除上述設備外,皆不能上網

**由於是小公司,而且我也不知道怎讓不同網段 eg: 192.168.1.xxx 192.168.2.xxx
型成內網彼此交流檔案.
所以目前只能將所有設備都放在192.168.1.xxx下

參考了draytek的應用解說
http://www.draytek.com/user/SupportA...ail.php?ID=103
結果設備都不能上網了.
有疑惑如下:
192.168.1.16/28<---/28?不懂這個28是如何應用
一開始以為他是代表 192.168.1.16~28這一段
但是上網查了之後,又不是這麼一回事.

可以請教要怎樣設定才能夠達到我的需求嗎?
如果我有敘述不清楚的部份,請指正.
先謝過各位高手

**FYI** · 2009-08-01, 08:39 PM

如果允許上網的電腦數目不超過16 台的話,

作者：codeblack

參考了draytek的應用解說
http://www.draytek.com/user/SupportA...ail.php?ID=103

試試

應用解說 > IP Filter/Firewall > 02. How to set up MAC Address Control function?

**codeblack** · 2009-08-03, 09:45 AM

作者：FYI

如果允許上網的電腦數目不超過16 台的話,

試試

應用解說 > IP Filter/Firewall > 02. How to set up MAC Address Control function?

謝謝建議,但是我的2800不適用這個

2800沒有 MAC address control

**FYI** · 2009-08-03, 12:23 PM

作者：codeblack

2800沒有 MAC address control

韌體更新了嗎? 否則請向garethlin 兄反映, 可惜他現在都只在mobile01 泡MM, 明顯重色輕友

**codeblack** · 2009-08-04, 12:25 AM

作者：FYI

韌體更新了嗎? 否則請向garethlin 兄反映, 可惜他現在都只在mobile01 泡MM, 明顯重色輕友

2800的軔體已經很久沒更新了

draytek來信了
雖然看不太懂,也還是沒試
不過先提供給其他跟我有一樣需求的人做參考

"Dear

由於2800的防火牆功能只能以劃分網段的方式來限制,
因此您與範例中所看見的192.168.1.16/28的意思為192.168.1.1~192.168.1.31的位址會被過
濾/放行,以您的環境來說,您需要二條規則來達成管理
1.將全部的的IP對連線進行阻擋
先將方向為OUT且來源為任意位址,目的為任意位址設定採行措施為Block If no Further Match.
2.將被允許的IP位址放在第二條規則放行
增加方向為out且來源為192.168.1.192/255.255.255.192,目的為任意位址設定採行措施為
Pass immidiately.

謝謝您的來信,如果設定上有疑問的地方麻煩您告訴我們,"

還是謝謝您 FYI

**FYI** · 2009-08-04, 01:40 AM

建議你反向思考, 找出Vigor2800 "能" 與 "不能", 然後請上級同意升級設備

單純只想靠Vigor2800 來限制員工是不可行的, 你已經限制員工不得修改IP 了嗎? 否則要在200-254 之間, 找到一個沒人使用的IP 偷溜上網是輕而易舉之事, 你可能需要以VLAN 徹底從硬體上封鎖所有漏洞