伺服器win2003ip過濾

❶ 用Windows Server 2003的伺服器怎麼設置來限制外網訪問 最好可以用篩選ip..

2003可以用tcp/ip埠篩選來控制允許訪問的埠
然後，如果是iis的話，可以在iis控制台限制訪問的ip地址

❷ 請問下win2003如何設置，使伺服器只能訪問特定的ip段改怎麼設置。

使用IP安全策略可以實現。類似這種：http://wenku..com/view/1ef49308ccbff121dd36837b.html 您可以照著這個設置，把原地址的設為自己的ip，目標地址設為某個ip段，然後允許。其他的全禁止。埠的話根據自己需要設置。

❸ win2003伺服器安全策略禁止ip段訪問怎麼設置

自己計算一下子網掩碼。實在不方便，直接找個程序算一下。看你的ip地址屬於a類ip。所以應該255.0.0.0。

❹ win2003伺服器安全策略禁止ip段怎麼設置

你可以試一下win2003 自帶的ipsec防火牆. IPSEC在建立VPN過程中使用頻率比較高,但是它也有數據包過濾功能。按照該規則制定的方法對某些ip地址數據進行丟棄或轉發.

❺ 如何在2003伺服器做ip策略禁止某個固定的ip訪問

我這是復制別人的資料,你試試效果怎麼樣,不管怎麼說吧,這個問題我也想詳細了解!
打開：控制面版--管理工具-本地安全設置。點左邊的
IP安全策略，在本地計算機。
然後在右邊點右鍵--創建IP安全策略，打開IP安全策略向導。
下一步，出現IP安全策略名稱，隨便起個就行。比如叫
阻止192.168.1.163
下一步，出現激活默認響應規則，不要選中，把鉤去掉。
下一步，選中編輯屬性，完成。
然後出現了
IP安全策略屬性，點下邊的添加，出現規則屬性，點擊添加，出現IP策略器列表。把使用添加向導去掉，點右邊的添加，出現篩選器屬性。
定址欄
原地址選
一個特定的IP
192.168.1.163。目標IP是
我的IP地址。然後點擊確定。
現在回到
IP
篩選器列表，點擊確定，在規則屬性里應該多了個列表，選中它。然後切換到篩選器操作選項卡，把使用添加向導去掉，點擊添加。在出現的篩選器操作
屬性里的安全措施選項卡中，選擇
阻止，點擊確定。在篩選器操作選項卡中會多出一個阻止的選項，選中它。
總之，在IP篩選器列表中你要選中你建的那個列表，篩選器操作中要選中阻止。然後點擊應用以後關閉。
現在回到
IP安全策略
屬性
這里，把你建的IP篩選器列表鉤上，點擊關閉。
這時，在你最開始打開的
本地安全設置里
會多出一個策略，就是你建立的
「阻止192.168.1.163」。在它身上點右鍵，選擇指派，就OK了。

❻ WIN2003如何限制IP段上網

在沒有路由器和三層交換機的情況下，可以利用Windows 2003 Server 的路由和遠程訪問（RRAS）實現軟路由，把多個網段連接起來。還可利用RRAS中的輸入/輸出篩選器設置具體的基於IP、基於協議、基於應用（埠）的訪問控制。

一、首先以兩個網段為例，說明如何實現互聯及其原理。

網路A：192.168.10.X 255.255.255.0
｜｜
網卡a：192.168.10.250
網卡b：192.168.0.7
｜｜
網路B：192.168.0.X 255.255.255.0

首先說明一下，對於此種簡單互聯，並不需要配置動態路由協議RIPv2或OSPF。動態路由協議是用於兩個或兩個以上路由器之間自動交換路由信息的，而這種情況只需要一台2000S計算機配兩塊網卡充當路由器。實現起來很簡單，只需要在2000S上啟用RRAS，選「網路路由器」即可。

原理如下：

A、未配置RRAS時
192.168.10.X---192.168.10.250：通，因為是同一網段的
192.168.10.X---192.168.0.7：通，是因為兩個網卡都在同一台計算機2000S上，NT/2000默認啟用「IP轉發」。

也就是說在未啟用RRAS時，在各自網段的計算機就都能PING通作為路由器的2000S的兩個網卡IP,但這時不能PING通另外網段的計算機。

B、配置並啟用RRAS後,192.168.10.X---192.168.0.X馬上就通了。並不需要手動添加路由記錄，或使用動態路由協議。因為2000S的RRAS會根據兩塊網卡的TCP/IP配置，自動生成兩條記錄,內容如下：

介面:網卡b(192.168.0.7)
目標:192.168.0.0
掩碼:255.255.255.0
網關:192.168.0.7
意思就是：想訪問192.168.0.X，走192.168.0.7這個口。

介面:網卡a(192.168.10.250)
目標:192.168.10.0
掩碼:255.255.255.0
網關:192.168.10.250
意思就是：想訪問192.168.10.X，走192.168.10.250這個口。

實現此種互聯的其它方法：
方法一：利用默認網關互指。即：
網卡a的默認網關配：網卡b的IP
網卡b的默認網關配：網卡a的IP。

目的也是為了生成類似上面的二條記錄，只不過目標是：0.0.0.0，掩碼：0.0.0.0，它表示除了本機、本網路、組播地址……等等已指明路徑以外所有的目標走默認網關。

方法二：利用ROUTE ADD命令手動添加兩條路由記錄。命令格式如下：
route add 192.168.0.0 mask 255.255.255.0 192.168.0.7 -p
route add 192.168.10.0 mask 255.255.255.0 192.168.10.250 -p
其中-p參數的意義是：添加一條永久記錄，否則機器重啟時，非永久（靜態）記錄會消失。

二、以三個網段互聯為例，說明如何實現更多的網段互聯

{網路A}==至A：R1：至B=={網路B}==至B2：R2：至C=={網路C}

R1到網路A、B的網卡分別為至A、至B
R2到網路B、C的網卡分別為至B2、至C

實現網路A、B、C軟路由互聯，可使用的方法：
1、手動路由記錄（最麻煩，但容易掌握原理）
2、默認網關互指（也可了解原理）
3、RIPv2（最省事，中小型網路的動態路由協議：MS的說法，不超過50個路由器）
4、OSPF（最省事，大中型異構網路的動態路由協議）

方法一：以手動路由記錄為例，說明原理：

1、要想使網路A能訪問網路C，在R1配：
介面:至B
目標:網路C
掩碼:網路C
網關:至B2
意思就是：A要訪問C，從「至B」走，下一站是「至B2」。

2、要想使網路C能訪問網路A，在R2配：
介面:至B2
目標:網路A
掩碼:網路A
網關:至B
意思就是：C要訪問A，從「至B2」走，下一站是「至B」

[說明]
1、兩條記錄都建好後,A和C之間才能通,因為PING命令是雙向的，其它網路訪問也一樣
是雙向。
2、四個、五個……更多網路互聯時，也是類似的，都是在本地路由器上，通過路由記錄指明下一個路由器是誰。至於到達下一個路由器之後怎麼走，那就是下一個路由器的事了。

方法二：將「至B」和「至B2」的默認網關互指，即：

R1的至B網卡，默認網卡配：至B2
R2的至B2網卡，默認網卡配：至B

[說明]
方法一和方法二可以結合使用。因為手動配默認網關，也相當於手動路由記錄。

方法三：RIPv2

在R1和R2上分別安裝路由協議RIPv2，這樣就不必手動路由記錄了，動態路由協議將會自動在R1、R2上各生成一條記錄。

[說明]
1、在RRAS中顯示IP路由選擇表時，可以看到由RIPv2生成的記錄，其通訊協議註明來源於：RIP，而不象其它記錄為：本地或網路管理。
2、RIP協議的原理是基於單播/組播/廣播的周期公告，來與其它路由器交流網路路由信息的，周期公告間隔，默認為30秒。作實驗時可適當調小，或多等一會兒。

方法四：OSPF

在R1和R2上分別安裝路由協議OSPF，將會自動在R1、R2上各生成三條記錄，通訊協議為：OSPF。

[說明]
1、三條記錄中有一條是我們最需要的那個，其餘兩條與原有的來源於本地/網路管理的內容重復。
2、不能在R1上RIP2，在R2上OSPF這樣交差混用。開放式最短路徑優先OSPF是基於復雜的數據矢量演算法的，在MS 2000S軟路由上，兩種協議無法交流路由信息。

三、利用2000S RRAS中的輸入/輸出篩選器設置具體的基於IP、基於協議、基於應用（埠）的訪問控制。
操作方法如下：
開始/程序/管理/路由和遠程訪問/IP路由選擇/常規/介面/右鍵屬性/常規：輸入/輸出篩選器。

[說明]
1、是輸入還是輸出，是相對RRAS這台計算機上的具體網卡而言的。
2、注意對話框上面的選項是：接收（還是丟棄）所有除符合下列的條件以外的數據包。
3、在源網路和目標網路設置中什麼都不選：相當於「任何」。
4、如需針對具體應用作限制，選擇協議及埠，如WEB伺服器應為TCP：80口。其它的應用可查閱winnt\system32\drivers\etc\services和protocol文件。,

So~ 不想讓他上網的就不要連接！ 不過你要仔細看明白我說的才可以！ RRAS要自己多試驗幾次 應該沒問題
NAT是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態網路地址轉換、動態網路地址轉換、網路地址及埠轉換、動態網路地址及埠轉換、埠映射等。（其實就是網路地址轉換）NAT常用於私有地址域與公用地址域的轉換以解決IP地址匱乏問題。
第二。nat轉換可以做什麼？讓內部網路中某台機器對外部提供某種特殊得服務。
第三。nat轉換在什麼地方可以做？路由器上，有路由功能，提供了nat轉換服務得超作系統比如2000 server，都可以。
下面就是大家關心得怎麼做了。
一般來說我推薦在2000得server下做nat轉換，不推薦2000pro，這是由於伺服器版本得2000能夠提供更加好得性能。
1、我們要確認2000得路由功能已經啟用，在Windows 2000 Server上是默認啟用得，從管理工具中進入「路由和遠程訪問」（Routing and Remote Access）服務，在伺服器上滑鼠右擊，－》「配置並啟用路由和遠程訪問」
2、點「下一步」然後選則「Internet連接伺服器」，讓內網主機可以通過這台伺服器訪問Internet.（這里應該先配置好NAT共享，如果配好埠映射後再來配置NAT共享就有點麻煩，運氣不好得話NAT就共享不了。用電腦也講運氣，，faint，，，，）
3、選「設置有網路地址轉換（NAT）路由協議的路由器」，不選「設置Internet連接共享(ICS)」.(ICS與NAT的區別在於，ICS針對內部主機，它需要有一個固定的IP地址范圍；針對與外部網路的通信，它被限制在單個公共IP地址上；它只允許單個內部網路介面，也就是說功能沒有nat強大)
4、在「路由和遠程訪問伺服器安裝向導」中選「Internet連接」（就是連向Internet的那個連接），點「下一步」。
5、選「完成」ok
到目前為止，我們完成了nat共享得配置，下面得工作也許才是大家最關心得埠得映射！
6、添加NAT協議。右擊「常規」，－》「新路由選擇協議」
7、在「新路由選擇協議」中選擇「網路地址轉換（NAT）」，點擊「確定」
8、這樣在「IP路由選擇」中就多了一項「網路地址轉換（NAT）」
9、右擊「網路地址轉換（NAT）」,添加「新介面」

10、在「網路地址轉換（NAT）的新介面」中選擇「Internet連接」
11、在「網路地址轉換-Internet連接屬性」中選中「公用介面連接到Internet」，復選「轉換TCP/UDP頭（最好這么做）」
12、在"地址池"選項表裡添加你需要提供埠重定向的起始地址與結束地址.也就是你要拿出來搞埠映射的所有IP地址，一般情況下我們就一個IP地址，所以假設有1個地址，設置如下：
210.34.241.133
255.255.255.0
210.34.241.1
13、在"特殊埠"選項表裡提供了你需要定向的數據連接協議（是TCP還是UDP協議，如Web和FTP就是TCP協議的），選准後「添加」
注意這里選擇協議得時候是有點講究得，你得內部伺服器要對應什麼服務這里就要選擇是tcp得還是udp得，，比如代理qq這里就要用udp，而代理web得ftp這里要用tcp。
14、「添加特殊埠」，這里就是設置埠映射的核心了，把NAT主機的哪個埠映射到內網主機的哪個埠就在這里設置，由於設有「地址池」，所以可以在「公網地址」中添上「地址池」中的任一地址，這里添的是「210.34.241.133」，也就是我的地址，如果你在前面沒有設置「地址池」，那麼在這個選項頁中「在此地址池項」為灰色不可選，你只能選「在此介面」，也就是你只有一個公網IP地址，這比較適合只有一個IP的朋友，可以不用「地址池」，何必做多餘的設置呢？假如有問題的話，還不是自找麻煩。
「傳入埠」就是別人從網外訪問有公網IP的NAT伺服器的埠，你自己想怎麼填寫就怎麼填寫。
「專用地址和傳出地址」就是內部主機的IP地址和提供特殊服務的埠，這里是210.34.241.133上的8080埠映射到192.168.0.2上的80埠。

http://www.cn3wnet.com/viewthread_243.html
回答者：yj_boy7 - 首席運營官 十二級 10-1 13:08

我只能告訴你借用第三方軟體，
要不你就直接重新建立伺服器——ROS（軟路由）
如果一定是要用WIN2003的話，那就只好你自己想辦法解決這個問題

有些時候，借用第三方的軟體比用微軟的效果還要好！
在此建議，利用P2P終結者、聚生網管就可以了。

裡面可以綁定IP、網關以及限制上行、下行等，具體用了就知道了。

❼ 請問在Win2003 sever sp2下如何配置安全策略

在ip篩選允許80、3389埠；
下面是轉載：
win2003
ip安全策略
限制某個IP或IP段訪問伺服器指定埠
第一種方法：通過iis中的ip地址和域名限制
在需要設置的網站上
》
右鍵屬性
》
目錄安全性
ip地址和域名限制
授權訪問與拒絕訪問說明
如果是授權訪問，下面填寫的就是拒絕訪問的ip
如果是拒絕訪問
下面填寫的就是可以訪問的ip
第二種方法：通過ip安全策略
第一步：打開開始，程序，管理工具，本地安全策略
第二步：點「IP安全策略，在
本地計算機」，然後在右欄空白處點右鍵，在彈出的菜單中點「創建IP安全策略(C)」
第三步：在「IP安全策略向導」中下一步
第四步：輸入名稱，點下一步
第五步：選中「激活默認響應規則」，點擊下一步
第六步，默認選項，直接點下一步
第七步：在指出的警告中，選擇「是(Y)」
第八步：選中「編輯屬性」，點完成
第九步：取消「<動態>
默認響應」的安全規則，並點擊「添加(D)」
第十步：在安全規則向導中點下一步
第十一步：在隧道終結點中直接點下一步
第十二步：在網路類型中選擇「所有網路連接」，並點下一步
第十三步：在IP篩選器列表中，點擊「添加(A)」
第十四步：在彈出的IP篩選器列表中點擊「添加(A)」
第十五步：在歡迎使用IP篩選向導中直接點擊下一步
第十六步：在IP篩選器描述和鏡像屬性中輸入描述並選中鏡像。然後點下一步
第十七步：在IP通信源中的源地址選擇「我的IP地址」，並點下一步
第十八步：在IP通信目標的目標地址中選擇「一個特定的IP地址」，把IP地址填寫為你要限制的IP，如192.168.0.199，然後點下一步
第十九步：在IP協議類型中選擇TCP，並點下一步
第二十步：在IP協議埠選擇從此埠，並填上你要限制的埠，如80，然後點下一步
第二十一步：在完成IP篩選器中不選中編輯屬性，然後點完成
第二十二步：在IP篩選器列表點確定，然後選中「新IP篩選器列表」（剛才創建的），點下一步
第二十三步：在篩選器操作中，點添加
第二十四步：在歡迎頁中點下一步，然後輸入名稱，點下一步
第二十五步：在設置篩選器操作的行為中選擇「阻止(L)」，然後點下一步
第二十六步：點完成，並跳到篩選器操作，選中「新篩選器操作」（剛才新建立的），點下一步
第二十七步：在完成頁面點完成，然後跳出新規則
屬性，點確定，再彈出新IP安全策略
屬性，點確定，然後在「新IP安全策略」上點右鍵，點「指派(A)」，一切結束

❽ 我有一台WIN2003伺服器，想在伺服器上指定哪些IP可以訪問，其它IP一律禁止。不通過IIS，我的是PHPNOW1.5.6

使用Apache禁止屏蔽IP。
你的Apache安裝目錄下的conf文件夾，找到httdp.conf文件

1.只允許 12.34.56.01訪問，其他的都不允許訪問，當然包含12.34.56.78
<Directory /var/www/html/internal>
order allow,deny
allow from 12.34.56.01
</Directory>

2.只拒絕12.34.56.78，其他都允許：
<Directory /var/www/html/internal>
order deny,allow
deny from 12.34.56.78
</Directory>

注意 : 如果1 變為：
<Directory /var/www/html/internal>
order allow,deny
allow from 12.34.56.01
deny from 12.34.56.01
</Directory>
則：12.34.56.01也不允許訪問

如果2 變為：
<Directory /var/www/html/internal>
order deny,allow
deny from 12.34.56.78
allow from 12.34.56.78
</Directory>
則：連12.34.56.78也被允許。

希望對你有用！！

❾ WIN2003伺服器怎麼禁PING

Windows Server 2003如何讓伺服器禁ping在網路中為了防止用戶頻繁Ping伺服器而導致伺服器性能下降，一般都會在防火牆中設置規則決絕Ping請求。那麼如果單純藉助系統自身的功能是否也可以拒絕用戶Ping伺服器呢頻繁地使用Ping命令會導致網路堵塞、降低傳輸效率，為了避免惡意的網路攻擊，一般都會拒絕用戶Ping伺服器。為實現這一目的，不僅可以在防火牆中進行設置，也可以在路由器上進行設置，並且還可以利用Windows 2000/2003系統自身的功能實現。無論採用哪種方式，都是通過禁止使用ICMP協議來實現拒絕Ping動作以在Windows Server 2003中設置IP策略拒絕用戶Ping伺服器為例，具體操作步驟如下：1．添加IP篩選器第1步，依次單擊「開始/管理工具/本地安全策略」，打開「本地安全設置」窗口。右鍵單擊左窗格的「IP安全策略，在本地計算機」選項，執行「管理IP篩選器表和篩選器操作」快捷命令。在「管理IP篩選器列表」選項中單擊「添加」按鈕，命名這個篩選器名稱為「禁止PING」，描述語言可以為「禁止任何其它計算機PING我的主機」，然後單擊「添加」按鈕第2步，依次單擊「下一步」→「下一步」按鈕，選擇「IP通信源地址」為「我的IP地址」，單擊「下一步」按鈕；選擇「IP通信目標地址」為「任何IP地址」，單擊「下一步」按鈕；選擇「IP協議類型」為ICMP，單擊「下一步」按鈕。依次單擊「完成」→「確定」按鈕結束添加第3步，切換到「管理篩選器操作」選項卡中，依次單擊「添加」→「下一步」按鈕，命名篩選器操作名稱為「阻止所有連接」，描述語言可以為「阻止所有網路連接」，單擊「下一步」按鈕；點選「阻止」選項作為此篩選器的操作行為，最後依次單擊「下一步」→「完成」→「關閉」按鈕完成所有添加操作2．創建IP安全策略。右鍵單擊控制台樹的「IP安全策略，在本地計算機」選項，執行「創建IP安全策略」快捷命令，然後單擊「下一步」按鈕。命名這個IP安全策略為「禁止PING主機」，描述語言為「拒絕任何其它計算機的PING要求」並單擊「下一步」按鈕。然後在勾選「激活默認響應規則」的前提下單擊「下一步」按鈕。在「默認響應規則身份驗證方法」對話框中點選「使用此字元串保護密鑰交換」選項，並在下面的文字框中鍵入一段字元串如「NO PING」，單擊「下一步」按鈕。最後在勾選「編輯屬性」的前提下單擊「完成」按鈕結束創建3．配置IP安全策略。在打開的「禁止PING主機屬性」對話框中的「規則」選項卡中依次單擊「添加/下一步」按鈕，默認點選「此規則不指定隧道」並單擊「下一步」按鈕；點選「所有網路連接」以保證所有的計算機都PING不通該主機，單擊「下一步」按鈕。在「IP篩選器列表」框中點選「禁止PING」，單擊「下一步」按鈕；在「篩選器操作」列表框中點選「阻止所有連接」，依次單擊「下一步」按鈕；取消「編輯屬性」選項並單擊「完成」按鈕結束配置4．指派IP安全策略。安全策略創建完畢後並不能馬上生效，還需通過「指派」使其發揮作用。右鍵單擊「本地安全設置」窗口右窗格的「禁止PING主機」策略，執行「指派」命令即可啟用該策略經過這樣的一番設置，這台伺服器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了，不過在本地Ping自身仍然是通的。Linux下邊禁止ping命令的使用以root進入Linux系統，然後編輯文件icmp_echo_ignore_allvi /proc/sys/net/ipv4/icmp_echo_ignore_all將其值改為1後為禁止PING將其值改為0後為解除禁止PING直接修改會提示錯誤:WARNING: The file has been changed sincereading it!!!Do you really want to write to it (y/n)?y"icmp_echo_ignore_all" E667:Fsync failedHit ENTER or type command to continue這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all這個不是真實的文件如果想修改他的數值可以echo 0 或 1到這個文件（即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行net.ipv4.icmp_echo_ignore_all=1 到配置文件/etc/sysctl.conf裡面3 用高級設置法預防Ping默認情況下，所有Internet控制消息協議(ICMP)選項均被禁用。如果啟用ICMP選項，您的網路將在 Internet 中是可視的，因而易於受到攻擊。如果要啟用ICMP，必須以管理員或Administrators 組成員身份登錄計算機，右擊「網上鄰居」，在彈出的快捷菜單中選擇「屬性」即打開了「網路連接」，選定已啟用Internet連接防火牆的連接，打開其屬性窗口，並切換到「高級」選項頁，點擊下方的「設置」，這樣就出現了「高級設置」對話窗口，在「ICMP」選項卡上，勾選希望您的計算機響應的請求信息類型，旁邊的復選框即表啟用此類型請求，如要禁用請清除相應請求信息類型即可。