请问routerOS能满足以下需求吗？

swnacom

公司目前需要进行上网控制，需求如下：
01.老总级上网无控制；
02.所有同事均能上业务网站，如国家药品食品监督管理局的网站，以及集团公司的网站；
03.业务部门经理上网仅能上指定范围的（网站A，网站B，网站C），
04.采购人员能上指定范围内的网站（网站A，网站B，网站C），部分人员需要上QQ，MSN
05.其他人员禁止上网；

我希望通过MAC-IP来唯一标识，并制定网站的黑白名单；

he200377

实现起来比较麻烦
1、interface
lan 设置 arp：reply-only
2、ip arp
make static 所有ip和mac
3、建vpn server，伪装vpn server ip地址全段，这样就先实现了 问题1

4、其他人员的ip地址设置为 192.168.1.100-192.168.1.200 ，这段不给伪装 ，这样解决问题5

中间别的不好实现

fjingxu

比较困难。用routeros可能无法实现。

ee007

完全可以实现到！

peterchen

可以实现，先绑MAC地址，然后在做ADDRESS LIST 来做策略了

fjingxu

具体说，比如163.com。下属域名很多，地址很多，网通和电信的都有。你怎么只允许上163和sina其他的不让上。

Jnwei1202

设成 PPPoE 拔号上网
ROS 内网网卡的 IP 删了(让内网设了IP也不能上网,只能通上PPPoE拔号上网)
不同的帐号指定不同网段的IP
再在防火墙上对不同网段的IP进行上网限制,应该可以?

[ 本帖最后由 Jnwei1202 于 2008-7-1 09:39 编辑 ]

kevin121

我现就是这样子...哈哈.非常的爽...


就是郁闷的是,如果有用户使用代理的话,可能就防不了哦.

hcb

完全可以
对不同的用户进行分组，用address-list
然后分别开放各组的不同权限，或者是关闭各组不同的权限

至于代理，封掉常用的代理，以后发现一个封一个，对内网也要经常检查，有人装代理软件就封掉它

结合技术和行政手段就可以了，单纯的技术是不行的

kevin121

不知详细如何来封?可否讲解清楚些?

hcb

这和系统规划方面有着紧密的联系，因此很难用提出详细的方法
原理其实很简单，一条NAT规则确定了哪些用户可以使用什么样的协议和端口连接到哪些目的IP,多条规则就基本满足了不同的用途,然后在防火墙里再禁止一些特殊的项目，用户需要什么样的权限，就加入到不同的地址组里面，有多个权限就加到多个组里，记住，这里的方法是需要什么就开通什么，如果是先开通，再禁止不要的权限，则做法不同
给几个图参考，这是我目前在用的系统

fjingxu

请问有没有办法实现所有163.com和sina.com的网站可上，其他禁止的办法？

hcb

可以，你看我的地址组里面有一个D-163.com的名字，这个组里面就是163的所有IP,把sina的IP也加在这个组里，然后开放用户访问的目标IP列表为这个组就可以了
当然163/sina这些大型的网站，IP是有很多的，靠手工去找IP就太不现实了，用脚本自动添加

fjingxu

楼上的意思我明白，还是靠最终的ip地址控制。

ip地址会有变化，而且可能会引用其他ip地址的内容，这个就不好控制了。

有没有办法能让防火墙自己完成。

比如用163.com这个域名控制，能自动实现所有163.com的地址可以访问或者不能访问。

另求教能自动列出所有163.com后缀的ip地址的脚本。

hcb

1,启用ROS上的DNS缓存
2,建立如图所示的计划任务，定时搜索IP
3,客户机用ROS做DNS,并经常打开给定的域名(网站),以便在DNS缓存上留下记录而被检测到
4,经过一些时日，IP会逐步驱于完整达到实用的程度
以下是脚本代码:
#自动获取给定域名的IP地址
#-----------------------------------
#域名关键字,多个关键字之间用逗号分隔
:set DOM-STR "163.com,sina.com"
#目标地址列表名
:set ADD-LST "D-TEST"
#-----------------------------------
#检查本ROS的DNS缓存设置
:set dns [/ip dns get allow-remote-requests]
:if($dns=false) do={:log errog "获取域名IP:请先启用DNS缓存"}
# 取得DNS缓存记录的ID
:set ids [/ip dns cache all find]
#对记录进行分析
:foreach i in=$ids do={
# 取得域名
  :set dom [/ip dns cache all get $i name]
# 判断域名中是否包含有指定的关键字
  :foreach j in=$DOM-STR do={
#   找到关键字
    :if([:find $dom $j]!=[:nothing]) do={
#     取得IP地址
      :set ip [:resolve $dom]
#     检查该IP在列表里是否存在
      :set fond ""
      :set fond [/ip firewall address-list find list=$ADD-LST address=$ip]
#     若是新IP,则添加到地址列表里
      :if($fond="") do={
        /ip firewall address-list add list=$ADD-LST address=$ip disabled=no
        }
      }
    }
  }
#清除缓存,以便寻找新的IP
/ip dns cache flush