很多师生在上班、上课时利用网络看新闻、OICQ聊天、打网络游戏等,使工作热情转移,学习成绩下降,很让学校治理者头疼。有没有办法能保证学校治理者、多媒体机房教师可以随时上网,其他教师在上班时间不能上网,学生在上课时间限制聊天(但要能正常收发邮件)?这些要求利用WinRoute都可以轻松实现。脚本之家小编结合一般学校的典型应用环境将WinRoute的配置方法简单介绍如下:
WinRoute是什么?有什么作用?
WinRoute是一个集路由器、DHCP服务器、DNS服务器、NAT、防火墙于一身的代理服务器软件,同时它还是一个可以应用于局域网内部的邮件服务器软件,所以WinRoute Pro不但可以实现局域网内的所有微机共享一个 Internet 连接(连接方式包括MODEM、ISDN、xDSL、DDN、DirecPC等),而且可以实现局域网内部的邮件管理,实现局域网与Internet之间的邮件交换。该软件安装使用非常简单,仅需在服务器安装即可。设置选项交互性好,且有内置缓存功能,使访问速度大大提高。
该程序字节不大,但功能应有尽有,最实用的就是通过设置软网关在局域网共享,还能够多人共享同一个email帐号而且互不干扰,它还具备以下许多特色的功能。
网络应用环境
多数地区的中、小学都没有条件接入教育网,一般都是利用电信光缆或ADSL接入。但电信提供的ip数量有限,为了保证整个学校的正常上网,让师生在工作学习之余可以从网上获取所需信息,需要增设代理服务器用于进行地址转换(当然路由器也可实现,但因其治理难度大,需对网络治理人员进行专门的培训,且路由器功能相对服务器来说比较单一,一般不为中、小学校所采用)。NAT(地址转换)功能的采用不仅解决了IP地址的短缺,同时也起到了防火墙的作用。为了高效利用网络带宽,一般都安装两块网卡,一块外接因特网,另一块内接局域网(图1)。
为了保证内网用户可以正常使用所有的网络服务,最简单的办法就是在对外的网卡上启用NAT,NAT启用后,所有的内网用户正确配置IP地址后就可正常使用网络了。如嫌配置内网众多的IP地址烦琐,可以使用WinRoute本身自带的DHCP功能来动态分配内网IP地址。
安全高效的治理
上述配置虽可实现网络的连接共享,但没有进行访问控制。我们通过配置WinRoute的数据包过滤,可限制所有的用户在上午8:00至下午5:00对因特网的访问,同时答应师生自由地发送E-mail。实现步骤如下:首先建立一个时间段,选择“设置→高级→时间间隔”,在弹出的窗口中添加一个时间间隔(图2);其次配置数据包过滤,选择“设置→高级→数据包过滤”,在收到的标签中对内网卡进行配置(图3)。
对图中的每一条解释如下:
1. TCP协议中对特定的IP地址(比如192.168.1.188,当然还可以有更多的IP地址)不做限制;
2. TCP协议中任何主机对外界110号端口的访问不做限制(因110端口是POP3端口,用于接收邮件);
3. TCP协议中任何主机对外界25号端口的访问不做限制(因25端口是SMTP端口,用于发送邮件);
4. TCP协议中任何主机对外界任何端口(除上面排除的25、110号端口)的访问将被拒绝,包括HTTP、FTP等很多基于TCP协议的服务;
5. UDP协议中对特定的IP地址(比如192.168.1.188,当然还可以有更多的IP地址)不做限制;
6. UDP协议中任何主机对外界53号端口的访问不做限制(因53端口是客户机用来进行域名解析的);
7. UDP协议中任何主机对外界任何端口(除上面排除的53号端口)的访问将被拒绝,包括OICQ等很多基于UDP协议的服务。
备注:添加第4条时时,别忘了在“时间间隔”中选择“上班时间限制上网”(图4)。对于第7条的操作类似。
因特网中的访问以TCP、UDP协议为主。
TCP协议的110号端口用于接收邮件、25号端口用于发送邮件,UDP协议的53号端口用于DNS域名解析,对于上述三个端口始终打开。经过上述配置后除192.168.1.188(治理者或多媒体机房教师机的IP地址)可以在任意时间对因特网进行访问外,其他用户上班时间只能收发E-mail,下班时间才可以对因特网进行任意访问。WinRoute中数据包的过滤规则是由上至下,有一条符合条件将不再继续往下比较,如无一条件满足,默认的是答应通过。根据以上规则,用户还可以根据各单位具体需要制定出更符合自身需求的过滤规则。
以上就是通过WinRoute设置禁止访问的程序的过程,希望可以帮到大家,谢谢阅读。
