接到朋友的要求,需要将公司前台电脑只允许访问公司网站,而不让访问其他网站及qq聊天。
在VMware测试过程中,限制前台电脑访问公司网站折腾了很久,这里提供两种防火墙规则组合。

第一种组合是3条规则:

[admin@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
 #   LIST                                       ADDRESS                       
 0  company                                  11.123.234.23                 
 1  company                                  11.123.234.98 

[admin@MikroTik] /ip firewall filter>add chain=forward action=accept protocol=tcp src-address=172.16.100.200 dst-address-list=company dst-port=80,8111

[admin@MikroTik] /ip firewall filter>add chain=forward action=drop protocol=tcp src-address=172.16.100.200 dst-port=80

[admin@MikroTik] /ip firewall filter>add chain=forward action=drop src-address=172.16.100.200 layer7-protocol=qq

 

解释一下:

因网站可能对应多个外网ip,所以我们使用address-list来组合该网站多个ip,这样方便在防火墙规则里调用。三条规则第一条是允许172.16.100.200(内网计算机ip)访问公司网站(调用address-list里的ip,具体见address-list里的内容),端口可以是你要访问公司网站的某一些特定的业务(比如有安全认证的应用);第二条是禁止172.16.100.200访问所有的80端口地址(http服务端口,作用即是不让访问其他网站80端口,此时是可以ping通的);第三条就是调用L7-protocol 7层协议包里的内容,禁止访问qq。