如何限制连接到无线网络的用户，只能上网，不能访问局域网呢？

segafans_cu

公司现有网络是这样：
宽带接入路由器（型号忘了，反正功能挺多，没细看）
从路由器出来接CISCO LinkSYS 24口交换机
从Cisco出来后接了一个Dlink Dir655无线路由器（直接插在无线路由器的LAN口上，当成一个无线交换机来用）

电脑接在Cisco交换机上

IP地址设置如下，内网网段192.168.0.1/24，网关（插着宽带的路由器）192.168.0.1

因为无线路由只给公司的客户开放，为了安全，老板让我把连接到无线路由器的用户设为只能访问外网，不能访问内网


不知道有没有好的办法，能实现这个要求

在此我先谢谢各位了^_^

lock0n

把从Cisco出来后接Dlink Dir655无线路由器的LAN口改为WAN口，设置一个内网的ip地址，在dlink里面设置lan为

192.168.x.0/24只要不和内网同一网段就行。这样就不可以跨网段访问

当然这个方法有局限性，主要是你的交换机不可网管，你仔细研究下路由器有撒功能吧

chenyx

有路由器的话在上面做ACL

zhoutao0712

改为把无线路由器的WAN口接交换机，重新设置无线路由器，让其恢复本来的面目。

然后在无线路由器上做访问控制，禁止访问除了其本身WAN口IP以外的任何内网IP

[ 本帖最后由 zhoutao0712 于 2010-1-16 10:41 编辑 ]

segafans_cu

原帖由 lock0n 于 2010-1-16 08:55 发表
把从Cisco出来后接Dlink Dir655无线路由器的LAN口改为WAN口，设置一个内网的ip地址，在dlink里面设置lan为

192.168.x.0/24只要不和内网同一网段就行。这样就不可以跨网段访问

当然这个方法有局限性，主要 ...

我昨天晚上这么试过，Dlink的WAN接交换机，然后设置静态上网，设置一个192.168.0.0段的IP，Dlink的LAN口IP为172.16.0.0/24，这样能上网，但是仍然能访问192.168.0.0段的共享文件夹……无语了

segafans_cu

原帖由 chenyx 于 2010-1-16 09:00 发表
有路由器的话在上面做ACL

路由器我没有权限……老总不给我……郁闷~~，从路由器做ACL貌似控制不了访问内网……

segafans_cu

原帖由 zhoutao0712 于 2010-1-16 10:39 发表
改为把无线路由器的WAN口接交换机，重新设置无线路由器，让其恢复本来的面目。

然后在无线路由器上做访问控制，禁止访问除了其本身WAN口IP以外的任何内网IP

无线路由如果改成接WAN的话，无线路由的LAN口分配的IP地址就设为另一个网段的IP，这时仍然能访问192.168.0.0段的共享文件夹
至于无线路由器上的访问控制，我打开看了，要么监视访问Web页带日志或者禁止浏览某些web，要么阻止所有访问，要么过滤端口……没有禁止访问IP的设置，附上Dlink 访问控制设置图

r2007

刷路由

chenyx

那就没办法了,找有权限的做下ACL吧

segafans_cu

难道真的没办法了吗？

能不能在Cisco LinkSYS上面做个ACL来控制呢？

我的想法是从LinkSYS LAN口接Dlink的WAN口，然后Dlink的LAN口无线用户做SNAT，这样的话在LinkSYS上面用ACL禁止Dlink WAN口的IP地址访问内网，这样是否可行呢？

如果这样做的话，是不是要写253条ACL呢？