我有一台 MikroTik Router 951Ui-2HnD,它将我的计算机与 ISP 连接起来,并且想要屏蔽 Youtube 和 Facebook,但仅限于几台计算机。
我创建了一个 Layer7 协议:
姓名 :被拒绝的网站
正则表达式:^.+(facebook.com|youtube).*$
然后我使用以下配置创建了防火墙过滤器规则:
链 :向前
在界面上:以太1
第7层协议:被拒绝的网站
行动 :降低
通过此配置,这两个网站在所有计算机上都将被屏蔽。
然后我创建了一个地址列表,其中包含:
姓名 :禁止
地址 :192.168.1.1-192.168.1.20(这是我想要阻止这两个网站的 IP 范围)
我将此地址列表添加到防火墙规则的源地址列表中,但这样做会让所有计算机访问 Facebook 和 Youtube。
我是不是漏掉了什么?我需要做什么才能仅阻止此 IP 范围内的网站访问192.168.1.1
?192.168.1.20
答案1
亲爱的,您不需要任何地址,也不需要这样做,您只需这样做名称:拒绝网站正则表达式:^.+(facebook.com|youtube).*$
然后我创建了一个具有以下配置的防火墙过滤器规则:链:转发接口:ether1 第 7 层协议:拒绝网站操作:删除除外使用此配置,所有计算机都会阻止这 2 个网站。
然后我创建了一个地址列表:名称:禁止地址:192.168.1.1-192.168.1.20(这是我想要阻止这两个网站的 IP 范围)
我将此地址列表添加到防火墙规则的源地址列表中,但这样做会让所有计算机访问 Facebook 和 Youtube。
答案2
我认为,如果您想过滤局域网中的源地址,则需要过滤局域网链路/端口(即 ether-2)。您的 L7 过滤器正在查看 Ether-1。当您的出站流量到达 ether-1 时,它已被伪装,因此源地址是路由器的地址,而不是发送它的机器的地址。