iKuai爱快流控路由

标题: 请问如何做到全局不允许上网，再分开放行 [打印本页]

作者: linnan2004 时间: 2019-9-18 11:47
标题: 请问如何做到全局不允许上网，再分开放行
本帖最后由 linnan2004 于 2019-9-18 14:01 编辑

(, 下载次数: 20)

我想第一条ACL做个全局的阻断，以此来实现任何电脑不允许上网。再通过单独的条目，来实现单独的电脑放行

我第一条这么写了后，但是下面的电脑还是能上网，也能够访问并登录路由器，好奇怪

作者: haochangli 时间: 2019-9-18 13:39
设置非绑定MAC地址不能上网就行了，想上就绑上

作者: linnan2004 时间: 2019-9-18 13:49

haochangli 发表于 2019-9-18 13:39
设置非绑定MAC地址不能上网就行了，想上就绑上

几百人啊，得重新统计MAC，而且我还是4WAN口的分流

作者: youwei5683 时间: 2019-9-18 14:01

linnan2004 发表于 2019-9-18 13:49
几百人啊，得重新统计MAC，而且我还是4WAN口的分流

https://www.ikuai8.com/zhic/cjwt/gnph/0cd71.html
你可以看看这个帖子。先全局阻止，然后单个放行原理差不多

作者: linnan2004 时间: 2019-9-18 14:05

youwei5683 发表于 2019-9-18 14:01
https://www.ikuai8.com/zhic/cjwt/gnph/0cd71.html
你可以看看这个帖子。先全局阻止，然后单个放行 ...

看懂了，要填写源地址？？

但这个逻辑不应该啊，源地址不填写，就证明是局域网里的所有地址啊，理论上所有的IP都无法和路由器通信的

作者: linnan2004 时间: 2019-9-18 14:07
官方来个技术人员解惑一下。

作者: youwei5683 时间: 2019-9-18 14:23

linnan2004 发表于 2019-9-18 14:05
看懂了，要填写源地址？？

但这个逻辑不应该啊，源地址不填写，就证明是局域网里的所有地址啊，理论上所 ...

你可以试试源地址填上但排除网关地址比如网关为 192.168.1.1 那么源地址填 192.168.1.2-192.168.1.254 试试是否可行

作者: linnan2004 时间: 2019-9-18 15:28
本帖最后由 linnan2004 于 2019-9-18 15:32 编辑

youwei5683 发表于 2019-9-18 14:23
你可以试试源地址填上但排除网关地址比如网关为 192.168.1.1 那么源地址填 192.168.1.2-192.168.1. ...

填上源地址可以，但这个不符合逻辑啊，源地址不填，就代表所有源地址
我的源地址有点多啊

(, 下载次数: 18)

我的ACL是相当复杂的，有时候自己都会搞糊涂
现在用的是黑名单方式，很麻烦，要阻止很多上网的东西。所以想用白名单的方式来实现，直接一条命令就能实现全局阻断

作者: adxing 时间: 2019-9-18 16:10
ACL不能阻止访问路由的吧

作者: haochangli 时间: 2019-9-18 17:44
统计MAC地址能解决你的问题，不要烧脑了

作者: 爱快技术支持06 时间: 2019-9-18 19:30
楼主，你设置这条阻断的情况下，正常应该是无法上网的，如果可以正常上网，那就是有问题的
但是能访问和登录路由器，这是对的，如果你要阻断访问路由器，方向要填进，目的地址填爱快的LAN口地址
也就是说，至少需要做两条，一条阻断转发，一条是阻断进的

对于你上面说的，源地址填写可以，但是不填写不可以，我反馈到我们的测试同事，找对应设备验证下
或者方便的话，你私聊提供个联系方式，直接看下你的这情况。

作者: linnan2004 时间: 2019-9-18 22:21
本帖最后由 linnan2004 于 2019-9-18 22:27 编辑

爱快技术支持06 发表于 2019-9-18 19:30
楼主，你设置这条阻断的情况下，正常应该是无法上网的，如果可以正常上网，那就是有问题的
但是能访问和登 ...

已经测试了，Q50 3.2.6是可以的

但我大概在7月上旬，用的那时候的X86版本是不行的，我忘了当时是哪一版了，反正是最新的。

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)