「改」ER-X如何配置 屏蔽 内网IP

我按照官网的教程设置完成(https://bbs.ui.com.cn/t/edgerouter/41651),但是 我需要屏蔽的内网IP还是可以访问外网,请教是什么原因?怎样才能不让特定IP不能访问外网。有除了官网说的两点方法之外的方法吗?

这是我的设置的几张图。


我要把192.168.0.145屏蔽掉

1赞

local是指从LAN或者WAN上的其它机子对路由器的访问。
你要禁止访问外网,需要用IN(假设eth0是LAN)。
但是正常情况不会把LAN只配一个端口的,所以我怀疑你搞错了,应该选switch0才对。
另外,192.168.0.145/24看起来也不太对,你这是要屏蔽整个网段么?

1赞

为屏蔽其他因素干扰,首先ER初始化,我这里用的是ER-5P,在Wizards里采用WAN+2LAN的向导:
ETH0为WAN口,测试用DHCP
ETH1为LAN1:192.1681.1/24;
ETH2~4为LAN2逻辑端口为Switch0:192.168.2.1/24;「ER-X上对应的也是这个Switch0」
在LAN2上接2个终端设备用于测试:
一个设备A用DHCP固化IP为192.168.2.123,用于屏蔽测试;另外一个设备B拿到随机IP「192.168.2.39」用于对比测试规则效果;
一、初始状态:
可以看到网关、A、B两个设备都能被测试笔记本ping触达

二、增加规则:
2.1 创建Rule组:


注意:warning::这里选择的Default action是Accept,也就是缺省是放行的……因此整个逻辑规划上与缺省丢弃是不一样的,请根据自己的实现逻辑来配置。「下一节会有详细说明」
可以看到在规则组列表中,除了初始化向导缺省配置出来的WAN- Local规则外,增加出一条我们配置的规则了

2.2 增加细节规则来屏蔽2.123这个IP地址
2.2.1 规则逻辑
default为Accept的大致逻辑是:

  •     1.先放行192.168.2.123/24的IP访问本地网络192.168.2.0/24的权限;「否则会导致这个终端啥不通」
    
  •     2.禁止192.168.2.123/24的IP访问所有的网络;「因为上面那个内网的已经放行了,所以到这步逻辑的都不是2.0/24网段的了」
    
  •     3.缺省放行其他所有的访问「这个是缺省会实现的,不用配置」
    

2.2.2 配置逻辑1:




保存后得到如下结果:

2.2.3 配置逻辑2



保存后得到如下结果:

2.2.4 增加上述规则启用在哪个端口上和数据方向

2.2.5 保存查验效果

起效后右上角有个绿色的:white_check_mark:

三、验证效果:
3.1 规则状态验证:
在stats页面上可以看到规则2已经被阻止了70次,基本可以确认规则起效

3.2 被Ban终端访问测试:
可以看到网关2.1和对比测试终端2.39仍旧可以被ping到,而2.123此时已经无法ping通,基本达到效果。

3.3 在ER上验证
可以看到从ER的命令行里ping两个终端都没问题,表示内网通讯仍旧是可以的。


补充外网DNS访问测试:

3.4 从同网段的对比测试终端上验证:
此时对比终端上ping被屏蔽的终端因为是在同网段内的因此也没有问题

补充外网DNS访问测试:

3.5 在被Ban的终端上验证:
可以看到内网网关2.1和对比测试的终端2.39均可达,而外网电信的DNS就无法到达了,因此上网也基本不可行了,至此可以验证全功能实现完成 :100:

四、总结
在端口上做防火墙规则来阻止特定IP地址的外网访问是可行的,规则适当合理的情况下不会影响内网被Ban终端和其他设备的互访。