背景:公司是研发型小公司,难免会使用A某D和K某l 等国内免费软件,这两个是业界律师函发得最多的软件。最简单的方案是离网使用,但是离网使用比较麻烦的是要进行文件传输,需要使用U盘拷贝,另外研发型企业一般有服务器,像代码管理可能有内网svn,也需要进行提交和更新代码,研发也需要查找资料也需要外网,所以需要研发配网方案,最近帮公司配网,还是WiFi网络,就做个简单记录。
要求:
1.研发机器可以用远程桌面登录上网服务器。
2.研发机器可以连接SVN服务器,进行上传下载。
原理:
软件一般连接后台服务器使用的是传输层协议(TCP/UDP),或者应用层协议(自定义协议,http等),我在路由端拦截指定的MAC地址网络包,使对应的机器可以到路由,但不能从路由出去。这样就可以实现局域网通信正常,不能连外网了。可以连局域网,远程桌面连接到局域网内的上网服务器和SVN服务器都不是问题。理论可行。
测试方法:
开发软件需要可测试性,做配网方案一样也需要。可以使用ping命令测试,ping走的是ICMP协议,如果ping不通www.baidu.com,再ping一下局域网机器能正常,那说明成功了。
步骤:
1.获取到路由的账号和密码。
2.获取需要进制上网机器的MAC地址。
3.登录路由设置访问控制。
4.测试。
实现细节:
1.找到网管,或者其他路由账号管理权限者。要到账号即可,甚至可以让网管帮你禁止网络,如果可以的话,下面直接跳到第四步测试就好。
2.我一般使用命令行方式,看起来专业一点,虽然我不是专业的网管,但逼格要够高。首先WIN+R 然后输入cmd
使用ipconfig命令查看MAC地址,记得要加参数/all,否则只能显示简单的网络信息,不能显示MAC地址
可能会搜索到很多网卡,甚至有些是虚拟网卡,如果使用有线的方式接入路由,就选择以以太网适配器,WiFi就选择无线局域网WLAN,我这边是WiFi
圈住的就是我的无线网卡的物理地址。接下来就新增网关设置了
3.因为每个厂家的路由都不太一样,我这里用锐捷路由进行演示。原理其实都一样,核心就是让机器的网络包不能通过路由。登录路由,我这边路由的WiFi子网是192.168.110.X
我就在浏览器输入192.168.110.1
可以看到登录页面就说明ip没有错,如果不知道子网网段,可以使用电脑自动获取ip,看一下ip是哪个,最后一个改为1就是默认的路由。一般情况可以找到,实在找不到路由网络,恢复出厂就行。
选择出口路由器-》安全管理-》MAC过滤
直接添加规则并是使能MAC地址过滤,过滤类型是黑名单
像这样就可以了,接下来就是测试了。
4.测试
打开CMD,ping www.baidu.com
这样就出不了外网了,再测试一下局域网。
功德圆满......
注意:wifi组网需要固定物理地址,因为隐私问题,部分设备可能采用随机地址,还可以在路由用链路控制,限制部分ip上网权限
,最终要求是禁网机器不能通过路由