TP-link路由器防火墙怎么设置

TP-link路由器防火墙的设置方法

开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处，可点击当前页面的“帮助”按钮查看帮助信息)：

例一：预期目的：不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下：

1.选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

添加IP地址过滤新条目：

允许内网192.168.1.103完全不受限制的访问外网的所有IP地址

因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：192.168.1.100-192.168.1.102不需要进行添加，默认禁止其通过。

保存后生成如下条目，即能达到预期目的：

例二：预期目的：内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件，其余时间不能和对外网通信。

浏览网页需使用到80端口(协议)，收发电子邮件使用25(SMTP)与110(POP)，同时域名服务器端口号53(DNS)

设置方法如下：

选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

设置生成如下条目后即能达到预期目的：

分类: 电脑/网络

问题描述:

我单位购置了一台万元以上的Cisco 2600路由器组成局域网，网内有50多台电脑，由于各室电脑没有杀毒软件和安全措施，导致经常性网络阻塞，只有重新开关路由器来解决，烦不胜烦。请高手指点：

1、如果在路由器上进行设置，网内主要是上网功能，如何设置防阻塞。

2、路由器如何设置，将网内电脑自动获取IP，请详细点

3、有没有必要购置硬件防火墙？

不胜感谢！

解析:

对于Cisco的防火墙设置基本上不是那么简单的

解答1，开启CBAC，配置嘛，确实很麻烦，不过确实是很有用。以下是我自己26的全配置，任何包含CBAC和inspect的部分都是有关防火墙的。CBAC定义审查的协议，ACL定义缺省阻塞的数据。具体最好参看Cisco文档。

Current configuration : 3448 bytes

!

version 12.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname C26VPDN

!

logging queue-limit 100

enable secret 5 $1$NcbN$W43qLePAdcJtYW/uFbeLr1

!

username ccie secret 5 $1$UH6z$.HRK55iOjXzxJQBnKYU2k/

clock timezone Beijing 8

aaa new-model

!

!

aaa authentication login xvty local

aaa authentication login nouse none

aaa session-id mon

ip sub-zero

no ip source-route

ip cef

!

!

no ip domain lookup

!

ip inspect one-minute high 1200

ip inspect one-minute low 800

ip inspect tcp max-inplete host 150 block-time 0

ip inspect name CNC tcp

ip inspect name CNC udp

ip inspect name CNC icmp

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group CNC

request-dialin

protocol pppoe

!

!

!

!

!

!

!

!

!

!

!

!

!

no voice hpi capture buffer

no voice hpi capture destination

!

!

mta receive maximum-recipients 0

!

!

!

!

interface Ether0/0

ip address 192.168.51.26 255.255.255.0

ip nat inside

full-duplex

pppoe enable

pppoe-client dial-pool-number 1

!

interface Serial1/0

no ip address

shutdown

no fair-queue

!

interface Serial1/1

no ip address

shutdown

!

interface Serial1/2

no ip address

shutdown

!

interface Serial1/3

no ip address

shutdown

!

interface Dialer1

mtu 1492

ip address negotiated

ip access-group CBAC in

ip nat outside

ip inspect CNC out

encapsulation ppp

dialer pool 1

dialer-group 1

ppp pap sent-username sy_xxxxx password 0 xxxxx

!

ip nat inside source list vpdn interface Dialer1 overload

ip nat inside source static tcp 192.168.51.101 32323 interface Dialer1 32323

ip nat inside source static udp 192.168.51.101 32323 interface Dialer1 32323

ip nat inside source static tcp 192.168.51.100 11111 interface Dialer1 11111

ip nat inside source static udp 192.168.51.100 11111 interface Dialer1 11111

ip nat inside source static udp 192.168.51.100 3333 interface Dialer1 3333

ip nat inside source static tcp 192.168.51.100 3333 interface Dialer1 3333

ip nat inside source static tcp 192.168.51.100 23232 interface Dialer1 23232

ip nat inside source static udp 192.168.51.100 23232 interface Dialer1 23232

ip nat inside source static udp 192.168.51.101 55555 interface Dialer1 55555

ip nat inside source static tcp 192.168.51.101 55555 interface Dialer1 55555

no ip server

no ip secure-server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

!

ip access-list standard vpdn

permit 192.168.51.0 0.0.0.255

ip access-list standard xvtyacl

permit 192.168.51.0 0.0.0.255

!

ip access-list extended CBAC

permit icmp any any echo-reply

permit icmp any any unreachable

permit icmp any any packet-too-big

permit icmp any any ttl-exceeded

permit icmp any any time-exceeded

permit tcp any any eq 55555

permit udp any any eq 55555

permit udp any any eq 32323

permit tcp any any eq 32323

permit tcp any any eq 3333

permit udp any any eq 3333

permit tcp any any eq 11111

permit udp any any eq 11111

permit tcp any any eq 23232

permit udp any any eq 23232

!

dialer-list 1 protocol ip permit

priority-list 1 protocol ip high tcp 3333

priority-list 1 protocol ip high udp 3333

priority-list 1 default low

!

radius-server authorization permit missing Service-Type

call rsvp-sync

!

!

mgcp profile default

!

dial-peer cor custom

!

!

!

!

!

line con 0

login authentication nouse

line aux 0

line vty 0 4

access-class xvtyacl in

login authentication xvty

!

ntp clock-period ***********

ntp server 192.43.244.18

!

end

解答2，cisco的dhcp功能很恶心，推荐别用了。因为需要配置成 client-id对应"mac地址.02"……

解答3，Cisco的路由器就可以做防火墙了，就别卖别的根本没用的东西了。

不知道你是什么地方的人，如果是沈阳的，我可以上门免费帮你调试，别的地方的朋友就没有办法啦～～欢迎联系～

---