需求:
如果客户在内网拨VPN到Internet上的服务器来上网的话,可以绕过公司的防火墙设置,因此很多公司在管理防火墙时,首先都希望可以把内网拨VPN禁止。
本文以Vigor 2912系列/Vigor 2920系列/Vigor 2922系列/Vigor 2925系列为例,介绍通过内建防火墙阻挡VPN拨出的办法。
注意:本教程只会阻挡内网用户拨外网VPN服务器,路由器本身内建的VPN功能不受影响,因此公司网络的VPN使用是不受影响的。
步骤:
1. 在对象设定 >> IP对象添加一个IP对象,将想要屏蔽拨外网VPN的IP加进来,例如192.168.1.10到192.168.1.20(请根据自身需要自行修改此处设定)
2. 在对象设定 >> 服务对象 添加三个服务对象。分部是PPTP的TCP 1723,L2TP的UDP 1701和IPSec 的UDP 500端口。
3. 为了方便引用,可以将这三个服务类型加入到一个组,在对象设定 >> 服务类型组 进行设置,将做吧可选的服务类型加入到右边的选定对象里
4. 到防火墙 >> 过滤器页面,选择设定集2(因设定集1默认预留他用,所以防火墙规则从设定集2开始),然后选择规则2,根据下图设置分别选择IP对象,服务对象组,防火墙动作(立即屏蔽),最后点击确定即可完成设定
至此,设定已经完成,内网192.168.1.10到192.168.1.20的PC向外拨PPTP,L2TP,IPSec都被阻挡了。
