外网访问内网服务器 内网禁止访问外网

还是你原来的设备。
1,10107的IP电脑和1921681的电脑都接在一个交换机下面。
2，给网站的服务器再配置一个IP地址。为1921681的IP。
就这样。
10107的电脑可以访问网站，1921681的电脑业可以访问网站。
但是由于1921681的电脑和路由器10107的网段不一样，所以1921681的电脑访问不了路由器，也就访问不了外网。
并且，由于路由器本身的原因，就算你添加静态路由也不行。除非你给1921681的电脑再配置一个10107的IP。
相信你会给一台电脑配置2个IP吧？
如果觉得可行，请采纳。

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，d出快捷菜单，选择“创建 IP 安全策略”，于是d出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后d出“新规则属性”对话框，在画面上点击“添加”按钮，d出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“1433”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 1433（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略。
最后就是激活策略
第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器 *** 作”选项卡。在“筛选器 *** 作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止” *** 作：在“新筛选器 *** 作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步、进入“新规则属性”对话框，点击“新筛选器 *** 作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
天互数据 杜超为您解答，希望能帮到你

利用组策略里的IP安全设置可以达到楼主的要求
为了说明,我告诉一下我的设置
我的电脑IP 1921680100
路由器 ip 19216801
我通过如何阻止 我和路由器之间的相互PING来演示 *** 作过程
首先
打开组策略
进入计算机配置里面的安全设置,点里面的IP安全策略
创建新的IP策略 下一步
随便输入名称 我就用 "阻止" 然后点 下一步
激活默认响应规则打勾 下一步
验证方法选第一个 V5协议
可能会有个警告,直接确定就好了
编辑属性打勾 完成
回到原来的界面,点新建的名称 "阻止"
他会出来个属性窗口
点击添加
下一步
不指定隧道
下一步
所有网络连结
下一步
V5协议
下一步
这时候应该是个安全规则向导界面
点添加
出来IP筛选列表
点添加
下一步
源地址用我的IP地址
下一步
目标IP地址 用一个特定的IP地址,然后输入你想阻止的IP地址
我这里用19216801
下一步
协议,针对你的游戏服务器用的通讯协议,自己选择,一般都是TCP
我这里使用ICMP
下一步
编辑属性打勾
下一步
出来筛选器属性
镜像一定要打勾,这样就能屏蔽远程IP了
然后点确定
回到了IP筛选器列表,点确定
点你刚刚建立的IP筛选器,如果上面没有命名,那么她的名字应该是
新的IP筛选器列表,点上圈圈下一步,进入筛选器 *** 作
点阻止,下一步
完成
新规则属性
不用搞,只要点确定然后点关闭
现在回到原来的组策略界面
右键点我们刚刚建立的 名称为阻止 ,选择指配
这时候,它的策略已指配 变成 是了
我这边现在PING 19216801 已经显示
C:\Documents and Settings\Administrator>ping 19216801
Pinging 19216801 with 32 bytes of data:
Destination host unreachable
Destination host unreachable
Destination host unreachable
Destination host unreachable
Ping statistics for 19216801:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
然后我们试试右键点击 阻止,选择 不指配
C:\Documents and Settings\Administrator>ping 19216801
Pinging 19216801 with 32 bytes of data:
Reply from 19216801: bytes=32 time=1ms TTL=127
Reply from 19216801: bytes=32 time=1ms TTL=127
Reply from 19216801: bytes=32 time=2ms TTL=127
Reply from 19216801: bytes=32 time=1ms TTL=127
Ping statistics for 19216801:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
很明显,策略已经成功达到我们要的效果了
打的我好累
恩,再次提醒,上面中的那个镜像一定要选择
不然就是我不能PING通路由器
路由器能PNG通我了
镜像的作用是双向禁止
按照上面的 *** 作,我想楼主应该能达到自己要求的效果了
不过如果对方是动态IP,以上 *** 作就没什么用了

如果用户不能随意的更改DNS服务器的话，那么可以利用系统的Hosts文件来进行屏蔽。我们知道在网络上要访问网 的话，要首先通过DNS服务器把要访问的网络域名解析成IP地址才能访问。为了提高对经常访问的网络域名的解析效率，可以通过利用Hosts文件中建立域 名和IP的映射关系来达到目的。当然我们可以利用Hosts把该网站的域名，映射到错误的IP或本地计算机的IP，这样系统就不用访问这个网站了。这里我 们以Windows XP为例，首先在C:\WINDOWS\system32\drivers\etc中找到hosts，然后用记事本打开这个文件，在 “127001 localhost”下面写上“127001 禁止访问某网站”后保存即可。当然我们也可以利用杀毒软件或网络防火墙对这个网 站进行屏蔽设置。

事实上，你从自己的服务器端是没有办法的。
变通的方法是：
从各大代理列表网站把代理服务器的ip列表当下来，然后把这些列表中的ip地址在你的服务器的ip过滤策略中（或者你的防火墙上）全部设置为禁止访问。
最好编写一个脚本，定期更新这些代理服务器ip列表，并自动写入过滤配置。
虽然这个工作不难，但是我估计你要维护的代理列表中可能有几千个甚至上万个ip地址，如果你的服务器有大量使用这些代理的请求，那么过滤这些ip对你的cpu是个考验。如果只是很少部分的话，对运算资源有些浪费。当然如果过几个月后，使用代理的访问者发现访问不了，可能就不用了，这时你可以考虑取消这些过滤策略。

1 IP 封禁 （这个是我们平时用得最多的）
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222222222222' reject" 单个IP
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='2222222220/24' reject" IP段
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept" 单个IP的某个端口
这个是我们用得最多的。封一个IP，和一个端口 reject 拒绝 accept 允许
当然，我们仍然可以通过 ipset 来封禁 ip
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222222222222
封禁网段
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=2222222220/24
倒入 ipset 规则
# firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklistxml
然后封禁 blacklist
# firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'
2、IP封禁和端口
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept"
只对19216812这个IP只能允许80端口访问 （拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812/24 port port=80 protocol=tcp accept"
只对19216812这个IP段只能允许80端口访问（拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）
3、双网卡内网网卡不受防火墙限制
# firewall-cmd --permanent --zone=public --add-interface=eth1
公网网卡–zone=public默认区域
# firewall-cmd --permanent --zone=trusted --add-interface=eth2
内网网卡–zone=trusted是受信任区域 可接受所有的网络连接
重新载入以生效
# firewall-cmd --reload

---