服务器win2003ip过滤

❶ 用Windows Server 2003的服务器怎么设置来限制外网访问 最好可以用筛选ip..

2003可以用tcp/ip端口筛选来控制允许访问的端口
然后，如果是iis的话，可以在iis控制台限制访问的ip地址

❷ 请问下win2003如何设置，使服务器只能访问特定的ip段改怎么设置。

使用IP安全策略可以实现。类似这种：http://wenku..com/view/1ef49308ccbff121dd36837b.html 您可以照着这个设置，把原地址的设为自己的ip，目标地址设为某个ip段，然后允许。其他的全禁止。端口的话根据自己需要设置。

❸ win2003服务器安全策略禁止ip段访问怎么设置

自己计算一下子网掩码。实在不方便，直接找个程序算一下。看你的ip地址属于a类ip。所以应该255.0.0.0。

❹ win2003服务器安全策略禁止ip段怎么设置

你可以试一下win2003 自带的ipsec防火墙. IPSEC在建立VPN过程中使用频率比较高,但是它也有数据包过滤功能。按照该规则制定的方法对某些ip地址数据进行丢弃或转发.

❺ 如何在2003服务器做ip策略禁止某个固定的ip访问

我这是复制别人的资料,你试试效果怎么样,不管怎么说吧,这个问题我也想详细了解!
打开：控制面版--管理工具-本地安全设置。点左边的
IP安全策略，在本地计算机。
然后在右边点右键--创建IP安全策略，打开IP安全策略向导。
下一步，出现IP安全策略名称，随便起个就行。比如叫
阻止192.168.1.163
下一步，出现激活默认响应规则，不要选中，把钩去掉。
下一步，选中编辑属性，完成。
然后出现了
IP安全策略属性，点下边的添加，出现规则属性，点击添加，出现IP策略器列表。把使用添加向导去掉，点右边的添加，出现筛选器属性。
寻址栏
原地址选
一个特定的IP
192.168.1.163。目标IP是
我的IP地址。然后点击确定。
现在回到
IP
筛选器列表，点击确定，在规则属性里应该多了个列表，选中它。然后切换到筛选器操作选项卡，把使用添加向导去掉，点击添加。在出现的筛选器操作
属性里的安全措施选项卡中，选择
阻止，点击确定。在筛选器操作选项卡中会多出一个阻止的选项，选中它。
总之，在IP筛选器列表中你要选中你建的那个列表，筛选器操作中要选中阻止。然后点击应用以后关闭。
现在回到
IP安全策略
属性
这里，把你建的IP筛选器列表钩上，点击关闭。
这时，在你最开始打开的
本地安全设置里
会多出一个策略，就是你建立的
“阻止192.168.1.163”。在它身上点右键，选择指派，就OK了。

❻ WIN2003如何限制IP段上网

在没有路由器和三层交换机的情况下，可以利用Windows 2003 Server 的路由和远程访问（RRAS）实现软路由，把多个网段连接起来。还可利用RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用（端口）的访问控制。

一、首先以两个网段为例，说明如何实现互联及其原理。

网络A：192.168.10.X 255.255.255.0
｜｜
网卡a：192.168.10.250
网卡b：192.168.0.7
｜｜
网络B：192.168.0.X 255.255.255.0

首先说明一下，对于此种简单互联，并不需要配置动态路由协议RIPv2或OSPF。动态路由协议是用于两个或两个以上路由器之间自动交换路由信息的，而这种情况只需要一台2000S计算机配两块网卡充当路由器。实现起来很简单，只需要在2000S上启用RRAS，选“网络路由器”即可。

原理如下：

A、未配置RRAS时
192.168.10.X---192.168.10.250：通，因为是同一网段的
192.168.10.X---192.168.0.7：通，是因为两个网卡都在同一台计算机2000S上，NT/2000默认启用“IP转发”。

也就是说在未启用RRAS时，在各自网段的计算机就都能PING通作为路由器的2000S的两个网卡IP,但这时不能PING通另外网段的计算机。

B、配置并启用RRAS后,192.168.10.X---192.168.0.X马上就通了。并不需要手动添加路由记录，或使用动态路由协议。因为2000S的RRAS会根据两块网卡的TCP/IP配置，自动生成两条记录,内容如下：

接口:网卡b(192.168.0.7)
目标:192.168.0.0
掩码:255.255.255.0
网关:192.168.0.7
意思就是：想访问192.168.0.X，走192.168.0.7这个口。

接口:网卡a(192.168.10.250)
目标:192.168.10.0
掩码:255.255.255.0
网关:192.168.10.250
意思就是：想访问192.168.10.X，走192.168.10.250这个口。

实现此种互联的其它方法：
方法一：利用默认网关互指。即：
网卡a的默认网关配：网卡b的IP
网卡b的默认网关配：网卡a的IP。

目的也是为了生成类似上面的二条记录，只不过目标是：0.0.0.0，掩码：0.0.0.0，它表示除了本机、本网络、组播地址……等等已指明路径以外所有的目标走默认网关。

方法二：利用ROUTE ADD命令手动添加两条路由记录。命令格式如下：
route add 192.168.0.0 mask 255.255.255.0 192.168.0.7 -p
route add 192.168.10.0 mask 255.255.255.0 192.168.10.250 -p
其中-p参数的意义是：添加一条永久记录，否则机器重启时，非永久（静态）记录会消失。

二、以三个网段互联为例，说明如何实现更多的网段互联

{网络A}==至A：R1：至B=={网络B}==至B2：R2：至C=={网络C}

R1到网络A、B的网卡分别为至A、至B
R2到网络B、C的网卡分别为至B2、至C

实现网络A、B、C软路由互联，可使用的方法：
1、手动路由记录（最麻烦，但容易掌握原理）
2、默认网关互指（也可了解原理）
3、RIPv2（最省事，中小型网络的动态路由协议：MS的说法，不超过50个路由器）
4、OSPF（最省事，大中型异构网络的动态路由协议）

方法一：以手动路由记录为例，说明原理：

1、要想使网络A能访问网络C，在R1配：
接口:至B
目标:网络C
掩码:网络C
网关:至B2
意思就是：A要访问C，从“至B”走，下一站是“至B2”。

2、要想使网络C能访问网络A，在R2配：
接口:至B2
目标:网络A
掩码:网络A
网关:至B
意思就是：C要访问A，从“至B2”走，下一站是“至B”

[说明]
1、两条记录都建好后,A和C之间才能通,因为PING命令是双向的，其它网络访问也一样
是双向。
2、四个、五个……更多网络互联时，也是类似的，都是在本地路由器上，通过路由记录指明下一个路由器是谁。至于到达下一个路由器之后怎么走，那就是下一个路由器的事了。

方法二：将“至B”和“至B2”的默认网关互指，即：

R1的至B网卡，默认网卡配：至B2
R2的至B2网卡，默认网卡配：至B

[说明]
方法一和方法二可以结合使用。因为手动配默认网关，也相当于手动路由记录。

方法三：RIPv2

在R1和R2上分别安装路由协议RIPv2，这样就不必手动路由记录了，动态路由协议将会自动在R1、R2上各生成一条记录。

[说明]
1、在RRAS中显示IP路由选择表时，可以看到由RIPv2生成的记录，其通讯协议注明来源于：RIP，而不象其它记录为：本地或网络管理。
2、RIP协议的原理是基于单播/组播/广播的周期公告，来与其它路由器交流网络路由信息的，周期公告间隔，默认为30秒。作实验时可适当调小，或多等一会儿。

方法四：OSPF

在R1和R2上分别安装路由协议OSPF，将会自动在R1、R2上各生成三条记录，通讯协议为：OSPF。

[说明]
1、三条记录中有一条是我们最需要的那个，其余两条与原有的来源于本地/网络管理的内容重复。
2、不能在R1上RIP2，在R2上OSPF这样交差混用。开放式最短路径优先OSPF是基于复杂的数据矢量算法的，在MS 2000S软路由上，两种协议无法交流路由信息。

三、利用2000S RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用（端口）的访问控制。
操作方法如下：
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规：输入/输出筛选器。

[说明]
1、是输入还是输出，是相对RRAS这台计算机上的具体网卡而言的。
2、注意对话框上面的选项是：接收（还是丢弃）所有除符合下列的条件以外的数据包。
3、在源网络和目标网络设置中什么都不选：相当于“任何”。
4、如需针对具体应用作限制，选择协议及端口，如WEB服务器应为TCP：80口。其它的应用可查阅winnt\system32\drivers\etc\services和protocol文件。,

So~ 不想让他上网的就不要连接！ 不过你要仔细看明白我说的才可以！ RRAS要自己多试验几次 应该没问题
NAT是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。（其实就是网络地址转换）NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
第二。nat转换可以做什么？让内部网络中某台机器对外部提供某种特殊得服务。
第三。nat转换在什么地方可以做？路由器上，有路由功能，提供了nat转换服务得超作系统比如2000 server，都可以。
下面就是大家关心得怎么做了。
一般来说我推荐在2000得server下做nat转换，不推荐2000pro，这是由于服务器版本得2000能够提供更加好得性能。
1、我们要确认2000得路由功能已经启用，在Windows 2000 Server上是默认启用得，从管理工具中进入“路由和远程访问”（Routing and Remote Access）服务，在服务器上鼠标右击，－》“配置并启用路由和远程访问”
2、点“下一步”然后选则“Internet连接服务器”，让内网主机可以通过这台服务器访问Internet.（这里应该先配置好NAT共享，如果配好端口映射后再来配置NAT共享就有点麻烦，运气不好得话NAT就共享不了。用电脑也讲运气，，faint，，，，）
3、选“设置有网络地址转换（NAT）路由协议的路由器”，不选“设置Internet连接共享(ICS)”.(ICS与NAT的区别在于，ICS针对内部主机，它需要有一个固定的IP地址范围；针对与外部网络的通信，它被限制在单个公共IP地址上；它只允许单个内部网络接口，也就是说功能没有nat强大)
4、在“路由和远程访问服务器安装向导”中选“Internet连接”（就是连向Internet的那个连接），点“下一步”。
5、选“完成”ok
到目前为止，我们完成了nat共享得配置，下面得工作也许才是大家最关心得端口得映射！
6、添加NAT协议。右击“常规”，－》“新路由选择协议”
7、在“新路由选择协议”中选择“网络地址转换（NAT）”，点击“确定”
8、这样在“IP路由选择”中就多了一项“网络地址转换（NAT）”
9、右击“网络地址转换（NAT）”,添加“新接口”

10、在“网络地址转换（NAT）的新接口”中选择“Internet连接”
11、在“网络地址转换-Internet连接属性”中选中“公用接口连接到Internet”，复选“转换TCP/UDP头（最好这么做）”
12、在"地址池"选项表里添加你需要提供端口重定向的起始地址与结束地址.也就是你要拿出来搞端口映射的所有IP地址，一般情况下我们就一个IP地址，所以假设有1个地址，设置如下：
210.34.241.133
255.255.255.0
210.34.241.1
13、在"特殊端口"选项表里提供了你需要定向的数据连接协议（是TCP还是UDP协议，如Web和FTP就是TCP协议的），选准后“添加”
注意这里选择协议得时候是有点讲究得，你得内部服务器要对应什么服务这里就要选择是tcp得还是udp得，，比如代理qq这里就要用udp，而代理web得ftp这里要用tcp。
14、“添加特殊端口”，这里就是设置端口映射的核心了，把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置，由于设有“地址池”，所以可以在“公网地址”中添上“地址池”中的任一地址，这里添的是“210.34.241.133”，也就是我的地址，如果你在前面没有设置“地址池”，那么在这个选项页中“在此地址池项”为灰色不可选，你只能选“在此接口”，也就是你只有一个公网IP地址，这比较适合只有一个IP的朋友，可以不用“地址池”，何必做多余的设置呢？假如有问题的话，还不是自找麻烦。
“传入端口”就是别人从网外访问有公网IP的NAT服务器的端口，你自己想怎么填写就怎么填写。
“专用地址和传出地址”就是内部主机的IP地址和提供特殊服务的端口，这里是210.34.241.133上的8080端口映射到192.168.0.2上的80端口。

http://www.cn3wnet.com/viewthread_243.html
回答者：yj_boy7 - 首席运营官 十二级 10-1 13:08

我只能告诉你借用第三方软件，
要不你就直接重新建立服务器——ROS（软路由）
如果一定是要用WIN2003的话，那就只好你自己想办法解决这个问题

有些时候，借用第三方的软件比用微软的效果还要好！
在此建议，利用P2P终结者、聚生网管就可以了。

里面可以绑定IP、网关以及限制上行、下行等，具体用了就知道了。

❼ 请问在Win2003 sever sp2下如何配置安全策略

在ip筛选允许80、3389端口；
下面是转载：
win2003
ip安全策略
限制某个IP或IP段访问服务器指定端口
第一种方法：通过iis中的ip地址和域名限制
在需要设置的网站上
》
右键属性
》
目录安全性
ip地址和域名限制
授权访问与拒绝访问说明
如果是授权访问，下面填写的就是拒绝访问的ip
如果是拒绝访问
下面填写的就是可以访问的ip
第二种方法：通过ip安全策略
第一步：打开开始，程序，管理工具，本地安全策略
第二步：点“IP安全策略，在
本地计算机”，然后在右栏空白处点右键，在弹出的菜单中点“创建IP安全策略(C)”
第三步：在“IP安全策略向导”中下一步
第四步：输入名称，点下一步
第五步：选中“激活默认响应规则”，点击下一步
第六步，默认选项，直接点下一步
第七步：在指出的警告中，选择“是(Y)”
第八步：选中“编辑属性”，点完成
第九步：取消“<动态>
默认响应”的安全规则，并点击“添加(D)”
第十步：在安全规则向导中点下一步
第十一步：在隧道终结点中直接点下一步
第十二步：在网络类型中选择“所有网络连接”，并点下一步
第十三步：在IP筛选器列表中，点击“添加(A)”
第十四步：在弹出的IP筛选器列表中点击“添加(A)”
第十五步：在欢迎使用IP筛选向导中直接点击下一步
第十六步：在IP筛选器描述和镜像属性中输入描述并选中镜像。然后点下一步
第十七步：在IP通信源中的源地址选择“我的IP地址”，并点下一步
第十八步：在IP通信目标的目标地址中选择“一个特定的IP地址”，把IP地址填写为你要限制的IP，如192.168.0.199，然后点下一步
第十九步：在IP协议类型中选择TCP，并点下一步
第二十步：在IP协议端口选择从此端口，并填上你要限制的端口，如80，然后点下一步
第二十一步：在完成IP筛选器中不选中编辑属性，然后点完成
第二十二步：在IP筛选器列表点确定，然后选中“新IP筛选器列表”（刚才创建的），点下一步
第二十三步：在筛选器操作中，点添加
第二十四步：在欢迎页中点下一步，然后输入名称，点下一步
第二十五步：在设置筛选器操作的行为中选择“阻止(L)”，然后点下一步
第二十六步：点完成，并跳到筛选器操作，选中“新筛选器操作”（刚才新建立的），点下一步
第二十七步：在完成页面点完成，然后跳出新规则
属性，点确定，再弹出新IP安全策略
属性，点确定，然后在“新IP安全策略”上点右键，点“指派(A)”，一切结束

❽ 我有一台WIN2003服务器，想在服务器上指定哪些IP可以访问，其它IP一律禁止。不通过IIS，我的是PHPNOW1.5.6

使用Apache禁止屏蔽IP。
你的Apache安装目录下的conf文件夹，找到httdp.conf文件

1.只允许 12.34.56.01访问，其他的都不允许访问，当然包含12.34.56.78
<Directory /var/www/html/internal>
order allow,deny
allow from 12.34.56.01
</Directory>

2.只拒绝12.34.56.78，其他都允许：
<Directory /var/www/html/internal>
order deny,allow
deny from 12.34.56.78
</Directory>

注意 : 如果1 变为：
<Directory /var/www/html/internal>
order allow,deny
allow from 12.34.56.01
deny from 12.34.56.01
</Directory>
则：12.34.56.01也不允许访问

如果2 变为：
<Directory /var/www/html/internal>
order deny,allow
deny from 12.34.56.78
allow from 12.34.56.78
</Directory>
则：连12.34.56.78也被允许。

希望对你有用！！

❾ WIN2003服务器怎么禁PING

Windows Server 2003如何让服务器禁ping在网络中为了防止用户频繁Ping服务器而导致服务器性能下降，一般都会在防火墙中设置规则决绝Ping请求。那么如果单纯借助系统自身的功能是否也可以拒绝用户Ping服务器呢频繁地使用Ping命令会导致网络堵塞、降低传输效率，为了避免恶意的网络攻击，一般都会拒绝用户Ping服务器。为实现这一目的，不仅可以在防火墙中进行设置，也可以在路由器上进行设置，并且还可以利用Windows 2000/2003系统自身的功能实现。无论采用哪种方式，都是通过禁止使用ICMP协议来实现拒绝Ping动作以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例，具体操作步骤如下：1．添加IP筛选器第1步，依次单击“开始/管理工具/本地安全策略”，打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略，在本地计算机”选项，执行“管理IP筛选器表和筛选器操作”快捷命令。在“管理IP筛选器列表”选项中单击“添加”按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其它计算机PING我的主机”，然后单击“添加”按钮第2步，依次单击“下一步”→“下一步”按钮，选择“IP通信源地址”为“我的IP地址”，单击“下一步”按钮；选择“IP通信目标地址”为“任何IP地址”，单击“下一步”按钮；选择“IP协议类型”为ICMP，单击“下一步”按钮。依次单击“完成”→“确定”按钮结束添加第3步，切换到“管理筛选器操作”选项卡中，依次单击“添加”→“下一步”按钮，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击“下一步”按钮；点选“阻止”选项作为此筛选器的操作行为，最后依次单击“下一步”→“完成”→“关闭”按钮完成所有添加操作2．创建IP安全策略。右键单击控制台树的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”快捷命令，然后单击“下一步”按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其它计算机的PING要求”并单击“下一步”按钮。然后在勾选“激活默认响应规则”的前提下单击“下一步”按钮。在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项，并在下面的文字框中键入一段字符串如“NO PING”，单击“下一步”按钮。最后在勾选“编辑属性”的前提下单击“完成”按钮结束创建3．配置IP安全策略。在打开的“禁止PING主机属性”对话框中的“规则”选项卡中依次单击“添加/下一步”按钮，默认点选“此规则不指定隧道”并单击“下一步”按钮；点选“所有网络连接”以保证所有的计算机都PING不通该主机，单击“下一步”按钮。在“IP筛选器列表”框中点选“禁止PING”，单击“下一步”按钮；在“筛选器操作”列表框中点选“阻止所有连接”，依次单击“下一步”按钮；取消“编辑属性”选项并单击“完成”按钮结束配置4．指派IP安全策略。安全策略创建完毕后并不能马上生效，还需通过“指派”使其发挥作用。右键单击“本地安全设置”窗口右窗格的“禁止PING主机”策略，执行“指派”命令即可启用该策略经过这样的一番设置，这台服务器已经具备了拒绝其它任何计算机Ping自己IP地址的能力了，不过在本地Ping自身仍然是通的。Linux下边禁止ping命令的使用以root进入Linux系统，然后编辑文件icmp_echo_ignore_allvi /proc/sys/net/ipv4/icmp_echo_ignore_all将其值改为1后为禁止PING将其值改为0后为解除禁止PING直接修改会提示错误:WARNING: The file has been changed sincereading it!!!Do you really want to write to it (y/n)?y"icmp_echo_ignore_all" E667:Fsync failedHit ENTER or type command to continue这是因为 proc/sys/net/ipv4/icmp_echo_ignore_all这个不是真实的文件如果想修改他的数值可以echo 0 或 1到这个文件（即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行net.ipv4.icmp_echo_ignore_all=1 到配置文件/etc/sysctl.conf里面3 用高级设置法预防Ping默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项，您的网络将在 Internet 中是可视的，因而易于受到攻击。如果要启用ICMP，必须以管理员或Administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。