如何透過 SMB 路由器限制特定 IP 存取內部伺服器?

設定指南
更新07-23-2024 09:54:32 AM FAQ view icon130215
這篇文章適用於: 

應用場景

在某些情況下,我們只希望某些特定的外部 IP 可以存取 SMB 路由器後面的內部伺服器。使用 Access Control(存取控制)搭配 Virtual Server(虛擬伺服器) 可以滿足此一需求

現在我們以 TL-ER6120 v2 為範例。網頁伺服器位於 TL-ER6120 LAN 埠後方,網址+通訊埠號為 192.168.0.2:8080。用戶端位於 WAN1 之外的 14.28.137.216。我們只想讓外部 IP 14.28.137.216 能夠存取這台伺服器。我們的拓樸連接如下。

我們怎樣才能做到這一點?

TL-ER6120 是 NAT 設備。網頁伺服器位於 TL-ER6120 後面的 192.168.0.2:8080。首先我們為所有外部 IP 開放 8080 通訊埠(約 192.168.0.2)。然後我們設定存取控制,限制只有 IP 14.28.137.216 才能存取網頁伺服器。具體設定步驟如下。

步驟 1

這一步我們需要打開 8080 埠。前往 Transmimmion > NAT  > Virtual Server。介面選擇 WAN1,通訊埠設定為 8080。然後按一下 OK。完成後,Virtual Server 清單中會產生一條規則項目。

 

步驟 2

這一步驟我們設定服務類型來符合網頁伺服器通訊埠 8080。前往 Preferences > Service Type。將服務類型命名為 Web_Service。並選擇 Protocol 為 TCP/UDP。Source Port 為 0-65535。填寫 destination port 為8080。

 

Step 3

這個步驟為設定 IP group。前往 Preferences > IP Group > IP address。如下圖新增以下兩個項目,分別為 Web_Server 和 Access_Client。

前往 IP Group。新增對應 Address Name 和 Group Name。依照下圖分別設定兩個項目。

 

步驟 4

現在讓我們設定 Access Control

在 Firewall -> Access Control,如下圖方式設定。我們先選擇 Allow Policy,Service Type 選擇我們剛才為通訊埠 8080 設定的 Web_Service。在 Source 選項中,我們選擇先前設定的 IP Group Access_Client。在 Destination 我們選擇 Web_Server。ID 為 1。

然後我們設定 Block Policy。Policy 選擇則為 Block,Source 為 IPGROUP_ANY。另外不要忘記將 ID 設定為 2。

完成後,規則清單中將出現兩個項目。

驗證

 

如下面的螢幕截圖,在用戶端 14.28.137.216 上,我們輸入 14.28.137.2:8080。(14.28.137.2 為 WAN1 位址)我們會發現可以正常存取網頁伺服器。

在任何其他其它用戶端(例如 14.28.137.210)上,我們無法存取網頁伺服器。它將會如預期生效!

 

說明:
1.存取控制清單(Access Control List)的 ID 順序代表了優先級,很重要。
2. TL-R600VPN 僅硬體版本 v4 即可滿足需求。
3. 其他機型不同的硬體版本之間,可能會有不同的 UI 呈現。不同 UI 的設定流程與範例 UI 基本上都相同。但缺少 IP Group 設定,其他設定選項只是改變了位置。

這篇faq是否有用?

您的反饋將幫助我們改善網站

推薦產品