防火墙rip_2003防火墙设置ip筛选器

1.H3C SecPath F100-S 防火墙 如何在WEB管理界面 设置IP地址映射？

2.有一个ip可以ping出，我如何阻止？防火墙拦不住

3.如何设置IP安全策略，只允许特定IP访问服务器

4.h3c防火墙 如何过滤掉某段ip

5.路由器设置好之后有防火墙

每个端口对应某个程序，或者是服务。

8000端口默认是QQ的端口。

其他的，可以参考百度。

如果需要打开指定端口。

网络连接属性,选择高级,再点设置,点例外,选择添加端口

适应与windows。

H3C SecPath F100-S 防火墙 如何在WEB管理界面 设置IP地址映射？

mac地址过滤

比如你在家里或宿舍里用无线路由器，又不想让周围的人随便连上路由器上网，

就可以用MAC地址过滤来允许某几台机器上网。

ip地址过滤

凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器

IP地址过滤

局域网IP地址： 192.168.1.101

局域网端口 1-65535

通过 ： 禁止通过

状态： 生效

就是说你可以通过设定让某台电脑无法访问网络，一般用于公司内部，家庭几乎没有使用

有一个ip可以ping出，我如何阻止？防火墙拦不住

1、首先打开电脑，鼠标点击开始菜单，输入cmd命令。

2、然后在打开的命令窗口，使用telnet命令登陆到防火墙。

3、进入sys模式，并使用命令进入需要做映射的防火墙端口，一般为出站端口。

4、输入命令nat outbound命令设置为出站；输入命令?nat server protocol tcp global 外网IP 外网端口 inside 内网IP 内网d 端口 reversible 映射端口。

5、最后不需要的端口映射可以删除，使用命令 undo?nat server protocol tcp global 外网IP外网端口，就完成了。

如何设置IP安全策略，只允许特定IP访问服务器

一、用高级设置法预防Ping

默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项，您的网络将在 Internet

中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators

组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

二、用网络防火墙阻隔Ping

使用防火墙来阻隔Ping是最简单有效的方法，现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此，以金山网镖2003和天网防火墙2.50版为蓝本来说明。

对于使用金山网镖2003的网友，请用鼠标右击系统托盘中的金山网镖2003图标，在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”，在出现的窗口中选中“防御ICMP类型攻击”规则，消除“允许别人用ping命令探测本机”规则，保存应用后就发挥效应。

如果您用的是天网防火墙，在其主界面点击“自定义IP规则”，然后不勾选“防止别人用ping命令探测”规则，勾选“防御ICMP攻击”规则，然后点击“保存/应用”使IP规则生效。

三、启用IP安全策略防Ping

IP安全机制（IP Security）即IPSec 策略，用来配置 IPSec

安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec

策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为

Active Directory 中的计算机（对于域成员）或本地计算机（对于不属于域的计算机）定义 IPSec 策略。

在此以WINDOWS

XP为例，通过“控制面板”—“管理工具”来打开“本地安全策略”，选择IP安全策略，在这里，我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操作。要新建IP安全过滤器，必须新建自己的过滤策略和过滤操作，右击窗口左侧的“IP安全策略，在本地机器”，在弹出的快捷菜单中选择“创建IP安全策略”，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置响应规则身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符（后面还会用到这些字符的），单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

接下来就要进行此新建安全策略的配置。在“Goodbye Ping

属性”对话窗口的“规则”选项页中单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换（预共享密钥）”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口，在“IP筛选器列表”中选择“新IP筛选器列表”，单击右侧的“编辑”，在出现的窗口中点击“添加”，单击“下一步”，设置“源地址”为“我的IP地址”，单击“下一步”，设置“目标地址”为“任何IP地址”，单击“下一步”，选择协议类型为ICMP，单击“完成”后再点“确定”返回如图9的窗口，单击“下一步”，选择筛选器操作为“要求安全”选项，然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略，在弹出的快捷菜单中选择“指派”命令使配置生效。

经过上面的设置，当其他计算机再Ping该计算机时，就不再Ping通了。但如果自己Ping本地计算机，仍可Ping通。在Windows

2000中操作基本相同。

四、修改TTL值防Ping

许多入侵者喜欢用TTL值来判断操作系统，他们首先会Ping一下你的机子，如看到TTL值为128就认为你的系统为Windows

NT/2000，如果TTL值为32则认为目标主机操作系统为Windows

95/98，如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果，那么我们不妨修改TTL值来欺骗入侵者，达到保护系统的目的。方法如下：

打开Windows自带的“记事本”程序，编写如下所示的批处理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>>ChangeTTL.reg

@echo "DefaultTTL"=dword:000000ff">>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为UNIX系统了！

"DefaultTTL"=dword:000000ff"是用来设置系统缺省TTL值的，如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值，请改变"DefaultTTL"的键值，要注意它的键值为16进制。

h3c防火墙 如何过滤掉某段ip

03系统例举

01.首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”

02.使用鼠标右键单击左方的“ip

安全策略，在

本地计算机”选项，并选择“创建

ip

安全策略”选项

03.点击“下一步”按钮

04.设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以

05.点击“下一步”按钮

06.去掉“激活默认响应规则”选项的勾

07.点击“下一步”按钮

08.点击“完成”按钮

09.去掉右导”选项的勾

10.现在先开始添止所有机器访问服务器，点击“添加”按钮

11.点击“添加”按钮

12.设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以

13.点击“添加”按钮

14.如果该服务器不打算上网，则可以将“源地址”设置为“任何

ip

地址”。如果需要上网，建议设置为“一个特定的

ip

子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192.168.1.10，则可以设置为192.168.1.0，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在192.168.1.*的范围，则直接设置为255.255.255.0即可

15.将“目标地址”设置为“我的

ip

地址”

16.点击“确定”按钮

17.点击“确定”按钮

18.选择刚创建的ip筛选器（即12步中设置的名称）

19.切换到“筛选器操作”选项页

20.去掉“使用添加向导”选项的勾

21.点击“添加”按钮

22.选择“阻止”选项

23.切换到“常规”选项页

24.设置筛选器操作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以

25.点击“确定”按钮

26.选择刚创建的筛选器操作（即24步设置的名称）

27.点击“应用”按钮

28.点击“确定”按钮

29.现在开始添加允许访问该服务器的机器，点击“添加”按钮

30.点击“添加”按钮

31.设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以

32.点击“添加”按钮

33.将“源地址”设置为“一个特定的

ip

地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）

34.设置“目标地址”为“我的

ip

地址”

35.点击“确定”按钮

36.重复32至35步将要允许访问该服务器的ip全部添加

37.点击“确定”按钮

38.选择刚创建的“ip

筛选器”（即31步设置的名称）

39.切换到“筛选器操作”选项页

40.选择“许可”选项

41.点击“应用”按钮

42.点击“确定”按钮

43.点击“确定”按钮

44.使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可

45.以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置

注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp

-s命令来绑定），并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。

路由器设置好之后有防火墙

例如你想让192.168.1.1～192.168.1.12

，其它过滤不能上网，方法如下： 先进路由器后， 打开(DHCP服务器)里面的(客户端列表)

看下IP192.168.0.13-192.168.0.254的MAC地址然后

打开(安全设置)里面的(MAC地址过滤)

(MAC地址过滤)有两种方式

1:仅允许已设MAC地址列表中已启用的MAC地址访问Internet

2:禁止已设MAC地址列表中已启用的MAC地址访问Internet，允许其他MAC地址访问Internet

建议用第一种把你192.168.0.1-192.168.0.12这些MAC地址添加进去就可以了只允许你们这几个MAC地址段使用没加入MAC过滤器的一切电脑都不能通过路由器的!

不建议你限制IP网段,这样的话人家把IP改了就可以通过或访问路由器了

如过用IP限制这个简单同样是打开

打开(安全设置)里面的(IP地址过滤)

(IP地址过滤):有两种方式

1:凡是已设IP地址过滤规则的数据包，允许通过本路由器

2:凡是已设IP地址过滤规则的数据包，禁止通过本路由器

第一种的话你就添加192.168.0.1*192.168.0.12 意思是这个IP段允许通过本路由器

第一种的话你就添加192.168.0.13*192.168.0.254 意思是这个IP段禁止通过本路由器

1.IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限，适用于这样的需求：在某个时间段，禁止/允许内网某个IP（段）所有或部分端口和外网IP的所有或部分端口的通信。

开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则（设置过程中若有不明确处，可点击当前页面的“帮助”按钮查看帮助信息）：

2.例一：预期目的：不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址；允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下：

选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

3.添加IP地址过滤新条目：

允许内网192.168.1.103完全不受限制的访问外网的所有IP地址

因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：192.168.1.100-192.168.1.102不需要进行添加，默认禁止其通过。

4.保存后生成如下条目，即能达到预期目的：