魏永辉

燕山大学里仁学院，河北　秦皇岛　066004



基于命令行下配置路由和远程访问内的NAT/基本防火墙入出站筛选

魏永辉

燕山大学里仁学院，河北秦皇岛066004

摘要：Windows Server 2003是微软基于Windows XP/NT5.1开发的服务器操作系统，现在还有很多在WINDOWS 2003 SERVER服务器下做软路由和远程访问来完成共享上网，那么如何通过设置其NAT/基本防火墙中的入站筛选器和出站筛选器屏蔽一些已经确认的恶意网站。

关键词：NAT；筛选器

一、当前问题

目前最主要的是在需要时(有时阻止、有时允许)阻止固定的内网机器上网，如果每次都通过在图形界面底下添加、删除同样的一条规则显得特别的麻烦。本文通过命令行方式和批处理BAT文件方式快速便捷的添加出入站的筛选。

在命令行底下通过脚本来调整筛选器，这样就可以做成批处理执行，避免每次打开“路由和远程访问”的控制台再手动输入信息，这个可以用命令行下的netsh命令来配置：netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 222.222.222.222 255.255.255.255 any，通过这个命令我可以在名为内网LAN连接的入站筛选器里增加一条“接收所有除符合下列条件以外的数据包”的筛选规则。

二、设置条件

Windows内置的netsh的命令，可以使用set来设置是drop(接收所有除符合下列条件以外的数据包)还是forward(丢弃所有的包，满足下面条件的除外)，加上用add来添加筛选条件。

如果在应用当中规则的源地址可以设置成允许上网的那台机器，但目的地址要不设置或者设成全部就不知道如何设置了，经过实验发现其实要不设置目的地址可以将目的地址的IP和掩码都设置成“0.0.0.0 0.0.0.0”就可以了，执行命令后你会在内网连接的入站筛选里面发现一条：“丢弃所有的包，满足下面条件的除外”、源地址和掩码是192.168.2.200 255.255.255.255、目的地址是空的规则，这样就可以在DOS下完全控制筛选了。

三、具体命令

下面是的两个可以做成批处理文件：

如何添加一条只允许192.168.2.200访问外网的筛选规则

@echo of

netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any

netsh routing ip set filter nei input drop

如何删除这条规则，允许所有人上网

@echo of

netsh routing ip delete filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any

netsh routing ip set filter nei input forward

四、注意问题

在做删除规则的时候注意，运行完删除规则以后，要将这条删除规则设置成forward，这样就可以正常的访问外网了。

软路由通常使用普通计算机充当，计算机可以是从很旧的PC机到高级的PC/串口服务器，配置成本根据用户需要进行控制。

如配置一台普通linux路由器，采用性能很差的二手电脑即可实现，要实现大的带机量及更多的功能，也可根据用户需求来添置更好的硬件设备。用软路由的好处之二就是所购买的机器不会浪费，因为软路由本身就是一台计算机，就算今后不需要用它来配置软路由，也可以作其他用途。而硬件路由器因为是一台专用的设备，可以说是专费专用。不同的软件路由器可以提供不一样的功能，像PPP/PPPOE拔号上网及管理软件、NAT网络地址转发功能、IPFW互联协议防火墙管理程序、DHCP动态IP配置协议程序及管理软件、DNS、VPN虚拟专用网络、HTTP及FTP服务、web认证、流量限制、限制宽带非法用户上网等常用的功能在软路由器上都可以实现，非常的灵活方便。而对于硬路由器来说，每一台设备其功能都是特定的，虽然不同的产品所提供的功能不一样，但是只要选定了其中一台，所选择的路由器功能也就基本上固定了，不能随意增加或者删除，只能选择开放或者是限制某一部分的功能使用，当然现在的硬件路由器厂商一般都是把功能完全集中在一个路由器产品中，客户可以根据自己的需求来进行使用。

软路由在使用的时候也要注意PC的稳定性，众所周知，PC架构是基于个人用途而设计的，其从各方面来说，都不适合担任恶劣环境下的服务器的角色，一台PC，各种配件是由不同的厂商生产，虽然是按照一定的规范来生产，但其兼容性却不见得能得到保障，特别我们这种是基于Windows Server 2003内部自带的软路由，本身也很脆弱 一定要做好预案。

软件路由器只能工作于以太网络，实现局域网之间的互联。硬件路由器拥有丰富的接口类型，因此适用于各种类型的网络，既可应用于局域网的互联，也可用于广域网和Internet互联。另外，两者的效率也不同，软路由可应用于小型的通讯效率不高的网络，硬件路由可应用于大中小型、通讯效率较高的网络。所以笔者也建议读者能根据自身需求来选择使用软路由，还是硬路由。

五、结束语

此段程序经过笔者调试，能够快捷简单实现进站出站筛选器的操作，提高了工作效率，达到了良好的运行效果。本文肯定有不足之处，欢迎广大读者的批评指正。

[参考文献]

[1]李颖.服务器安全配置工具的研究与实现[J].计算机光盘软件与应用，2011(9).

[2]吕顺营.NCRE上机考试服务器设置经验谈[J].电脑知识与技术(学术交流)，2007，3(18).

中图分类号：TP393.08

文献标识码：A

文章编号：1006-0049-(2016)09-0164-01