Windows Server 2008 R2 路由筛选器设置

easy

Windows Server 2008 R2 路由器支持对数据包进行筛选，它类似于防火墙，允许哪一类型的数据包通过路由器，或哪些数据包不能通过路由器。路由器中的每一个网络接口都可以被设置来筛选数据包。比如可以在路由上禁止由 子网A 发往 子网B 的 ICMP 数据包，这样，子网A 中的就算几就不能用 ping 命令来测试 子网B 中的计算机是否可以连通。

路由器的筛选设置网络拓扑以下图为例：


现在，“研发部” 和 “财务部” 两个部门之间的网络连通的，并且可以互相 ping 得通：


上图是从“研发部”中的某台主机 ping “财务部” 中的某台主机，互通没有问题。

现在打算设置路由的入站筛选器，拒绝接受来自“研发部”的 ICMP 请求回应数据包：

打开“路由与远程访问”控制台，展开“IPv4”，选择网络接口“研发部”，右击弹出选择“属性”或单击上方的“属性”都可，然后单击“入站筛选器”：





单击上图中的“新建” 按钮，然后进行如下图设置：

上面，ICMP 类型 8 代码 0 表示回应请求，即通常所用的来 ping 一个主机时，如果主机存活或不拒绝，那么请求其响应查询。

这样设置之后，“研发部” 里的主机就不能通过 ping 来判断 “财务部” 里的主机是否存活了，但其他的通讯不受影响。


出站筛选器类似设置，比如下面的设置用来屏蔽来自“财务部”任一主机向“研发部”的任一主机发出的远程桌面连接请求（选择“研发部”接口的属性）：


这里要说明一下“出站”和“入站”的概念，否则容易造成理解上的困惑和逻辑上的混乱：

入站筛选器和出站筛选器都是基于 IP 数据包的过滤，分别对应于收到的数据包和发出的数据包。它们是对于某一网络接口而言的，入站表示该接口收到的数据包；出站表示数据包从该接口发出。

比如现在选择的接口是“财务部”，并如下设置出站筛选器：

按照上面，我们本意是希望禁止“财务部”中的主机向外发出的远程桌面请求，源网络确实也是 192.168.2.0，源端口不限制，目标端口是 3389 ，但这并不起作用，为什么？

实际上，对于“财务部”这个接口来说，来自源网络 192.168.2.0 的数据包是入站，而非出站；而来自 192.168.1.0 子网并流经该接口并送往 192.168.2.0 子网的数据包对该接口来说才是出站。因此像上面的设置刚好逻辑颠倒，不起任何作用。正确的做法是，将源网络的 IP 地址改为 192.168.1.0，然后源端口改为 3389，而目标端口为不限（或写成 0），这是因为“财务部”主机是从一个随机端口发出 3389 连接请求的。如下图所示：


如果要求源网络是 192.168.2.0 ，若是设置“财务部”这个接口，那么应该设置的是“入站筛选器”。

最后，在设置好后，为了能马上生效，不要忘记右键刷新一把。