我單位員工上網原先都是各自為政——自己買個貓，撥號上網。這種方法不僅效率低、無法控制，而且安全性差，使局域網很輕易受到來自Internet的入侵。為此，筆者為單位申請了一條ISDN線路，添加一臺Zyxel P100IH撥號路由器，統一局域網內上網的出口，同時加強對單位上網用戶的治理。

這種方案不但降低了話費，提高了效率，而且一些可能發生的安全問題也被完全把握在治理員的控制之中。

在本篇文章中，筆者將講述在設置撥號路由器過程中會碰到一些難點問題。安裝撥號路由器過程比較簡單，筆者不再贅述。

安裝ISDN路由器后，就會發現，ISDN路由器的默認設置給予局域網內用戶極大的權力，用戶可以隨意使用任何互聯網服務,如:WWW、FTP、E-mail、Telnet、IRC等，也可以訪問任意一個Web站點，還可以自己私自設定一個合法的ip地址通過ISDN路由器上網，諸如此類的問題讓治理員非常棘手。

如何阻止局域網內用戶訪問非法Web站點？如何阻止某臺單機上網？如何設置防火墻？這些問題，是本文探討的重點。

設置P100IH有三種方法：

1)一是使用終端模擬軟件，如：Win 9X中的超級終端，使用它需要你的電腦直接與路由器的控制口相連接；

2)二是使用Telnet工具，用它則不同于第一種方法了，只要你的電腦能Ping通路由器就行；

3)三是使用Zyxel公司的PNC軟件，該軟件可運行于Win 9x/NT平臺，圖形化操作界面，還提供了聯機幫助，是個很不錯的路由器配置工具。該軟件可在P100IH的配套光盤中找到，使用它的條件是你的電腦通過局域網能Ping通路由器。現以Telnet選單方式介紹如何設置ISDN路由器。

阻止本地非法用戶訪問互聯網

假如你想阻止局域網內某個指定的用戶訪問互聯網，可以使用本方法。

1.首先在Menu21中建立一個過濾項 Menu 21 - Filter Set Configuration

Filter Filter

Set # Comments Set # Comments

1 Block a client 7

2 8

3 9

4 10

5 11

6 12

Enter Filter Set Number to Configure= 0

Edit Comments=

PRess ENTER to Confirm or ESC to Cancel:

2.建立一條過濾規則，拒絕接受這個用戶所發出的數據封包。

Menu 21.1.1 - TCP/IP Filter Rule

Filter #: 1,1

Filter Type= TCP/IP Filter Rule

Active= Yes

IP Protocol= 0 IP Source Route= No

Destination: IP Addr= 0.0.0.0

IP Mask= 0.0.0.0

Port #=

Port # Comp= None

Source: IP Addr= 192.168.1.5

IP Mask= 255.255.255.255

Port #=

Port # Comp= None

TCP Estab= N/A

More= No Log= None

Action Matched= Drop

Action Not Matched= Forward

Press ENTER to Confirm or ESC to Cancel:

識別網卡地址來阻止電腦訪問互聯網

上例使用IP地址過濾的方法來阻止本地用戶登錄互聯網，假如用戶私自將已被封鎖的IP地址更換為另一合法值，那治理員該怎么辦呢？沒問題，我們知道每塊網卡在出廠時都有一個全球唯一的網卡地址編碼，P100IH就可以根據這個地址來過濾上網的用戶。你只要將網卡地址加入到過濾條件中，就可以阻止非法用戶登錄互聯網（除非他再換一塊網卡）。

1.取得網卡地址

本機網卡地址的獲得：在Win 9X操作系統下執行Winipcfg命令，其中的“適配器地址”即網卡地址；Win NT下執行Ipconfig/ALL命令，“Physical Address”即網卡地址。假定本例網卡地址為[00 80 c8 4c ea 63]。

2.首先建立一個過濾項，然后在過濾項中再建立一條過濾規則。 Menu 21.1.1 - Generic Filter Rule

Filter #: 1,1

Filter Type= Generic Filter Rule

Active= Yes

Offset= 6

Length= 6

Mask= ffffffffffff

Value= 0080c84cea63

More= No Log= None

Action Matched= Drop

Action Not Matched= Forward 要害字解釋 Filter Type： 設置過濾類型為'Generic Filter Rule'（注重同上例的區別）； Active： 激活規則，設置為'Yes'； Offset(用字節表示)： 偏移量設置為'6'，網卡地址在數據封包中的起始位置； Length(用字節表示)： 網卡地址長度設置為'6'； Mask(用12個十六進制數表示)： 默認設置為'ffffffffffff'； Value (用十六進制數表示)： 網卡地址，本例設為[00 80 c8 4c ea 63]； Action Matched： 設為'Drop'，當網卡地址與設定值相同時，拒絕該用戶所發出的數據封包； Action Not Matched： 設為'Forward'，接受其它工作站所發出的數據封包。

3.激活上面建立的過濾項：進入Menu3.1，在'Device Filter'中輸入過濾項代碼就可以了（注重不是'Protocol Filter'）。 Menu 3.1 - General Ethernet Setup

Input Filter Sets:

protocol filters=

device filters= 1

Output Filter Sets:

protocol filters=

device filters=

我單位員工上網原先都是各自為政——自己買個貓，撥號上網。這種方法不僅效率低、無法控制，而且安全性差，使局域網很輕易受到來自Internet的入侵。為此，筆者為單位申請了一條ISDN線路，添加一臺Zyxel P100IH撥號路由器，統一局域網內上網的出口，同時加強對單位上網用戶的治理。

這種方案不但降低了話費，提高了效率，而且一些可能發生的安全問題也被完全把握在治理員的控制之中。

在本篇文章中，筆者將講述在設置撥號路由器過程中會碰到一些難點問題。安裝撥號路由器過程比較簡單，筆者不再贅述。

安裝ISDN路由器后，就會發現，ISDN路由器的默認設置給予局域網內用戶極大的權力，用戶可以隨意使用任何互聯網服務,如:WWW、FTP、E-mail、Telnet、IRC等，也可以訪問任意一個Web站點，還可以自己私自設定一個合法的IP地址通過ISDN路由器上網，諸如此類的問題讓治理員非常棘手。

如何阻止局域網內用戶訪問非法Web站點？如何阻止某臺單機上網？如何設置防火墻？這些問題，是本文探討的重點。

設置P100IH有三種方法：

1)一是使用終端模擬軟件，如：Win 9X中的超級終端，使用它需要你的電腦直接與路由器的控制口相連接；

2)二是使用Telnet工具，用它則不同于第一種方法了，只要你的電腦能Ping通路由器就行；

3)三是使用Zyxel公司的PNC軟件，該軟件可運行于Win 9x/NT平臺，圖形化操作界面，還提供了聯機幫助，是個很不錯的路由器配置工具。該軟件可在P100IH的配套光盤中找到，使用它的條件是你的電腦通過局域網能Ping通路由器。現以Telnet選單方式介紹如何設置ISDN路由器。

阻止本地非法用戶訪問互聯網

假如你想阻止局域網內某個指定的用戶訪問互聯網，可以使用本方法。

1.首先在Menu21中建立一個過濾項 Menu 21 - Filter Set Configuration

Filter Filter

Set # Comments Set # Comments

1 Block a client 7

2 8

3 9

4 10

5 11

6 12

Enter Filter Set Number to Configure= 0

Edit Comments=

Press ENTER to Confirm or ESC to Cancel:

2.建立一條過濾規則，拒絕接受這個用戶所發出的數據封包。

Menu 21.1.1 - TCP/IP Filter Rule

Filter #: 1,1

Filter Type= TCP/IP Filter Rule

Active= Yes

IP Protocol= 0 IP Source Route= No

Destination: IP Addr= 0.0.0.0

IP Mask= 0.0.0.0

Port #=

Port # Comp= None

Source: IP Addr= 192.168.1.5

IP Mask= 255.255.255.255

Port #=

Port # Comp= None

TCP Estab= N/A

More= No Log= None

Action Matched= Drop

Action Not Matched= Forward

Press ENTER to Confirm or ESC to Cancel:

識別網卡地址來阻止電腦訪問互聯網

上例使用IP地址過濾的方法來阻止本地用戶登錄互聯網，假如用戶私自將已被封鎖的IP地址更換為另一合法值，那治理員該怎么辦呢？沒問題，我們知道每塊網卡在出廠時都有一個全球唯一的網卡地址編碼，P100IH就可以根據這個地址來過濾上網的用戶。你只要將網卡地址加入到過濾條件中，就可以阻止非法用戶登錄互聯網（除非他再換一塊網卡）。

1.取得網卡地址

本機網卡地址的獲得：在Win 9X操作系統下執行Winipcfg命令，其中的“適配器地址”即網卡地址；Win NT下執行Ipconfig/ALL命令，“Physical Address”即網卡地址。假定本例網卡地址為[00 80 c8 4c ea 63]。

2.首先建立一個過濾項，然后在過濾項中再建立一條過濾規則。 Menu 21.1.1 - Generic Filter Rule

Filter #: 1,1

Filter Type= Generic Filter Rule

Active= Yes

Offset= 6

Length= 6

Mask= ffffffffffff

Value= 0080c84cea63

More= No Log= None

Action Matched= Drop

Action Not Matched= Forward 要害字解釋 Filter Type： 設置過濾類型為'Generic Filter Rule'（注重同上例的區別）； Active： 激活規則，設置為'Yes'； Offset(用字節表示)： 偏移量設置為'6'，網卡地址在數據封包中的起始位置； Length(用字節表示)： 網卡地址長度設置為'6'； Mask(用12個十六進制數表示)： 默認設置為'ffffffffffff'； Value (用十六進制數表示)： 網卡地址，本例設為[00 80 c8 4c ea 63]； Action Matched： 設為'Drop'，當網卡地址與設定值相同時，拒絕該用戶所發出的數據封包； Action Not Matched： 設為'Forward'，接受其它工作站所發出的數據封包。

3.激活上面建立的過濾項：進入Menu3.1，在'Device Filter'中輸入過濾項代碼就可以了（注重不是'Protocol Filter'）。 Menu 3.1 - General Ethernet Setup

Input Filter Sets:

protocol filters=

device filters= 1

Output Filter Sets:

protocol filters=

device filters=