win2003本地安全策略不会设置

管理工具--本地安全策略，点“IP安全策略，在本地机器”——>创建IP安全策略---->下一步---->名称随便写，如输入阻止IP访问，然后一直点下一步，出现提示点是，一直到完成，这个时候就创建了一个名为“阻止IP访问”的策略了

下面点“IP安全策略，在本地机器”—右键—>管理IP筛选器表和筛选器操作---->点添加---->名称添192.168.1（为了识别最好填写对应的IP段）---->点添加---->下一步---->源地址选择一个特定的IP子网，IP输入192.168.1.0

子网掩码改为255.255.255.0---->下一步---->目标地址选择我的IP地址---->下一步---->协议类型为任意---->下一步---->完成

全部关闭

下面点我们开始建立的名为“阻止IP访问”的策略，点属性---->填加---->下一步---->下一步网络类型选择所有网络连接---->下一步---->出现提示点是---->到IP筛选列表，点中我们刚才创建的名为192.168.1的选项---->下一步---->选择阻止---->下一步到完成、关闭最后点“阻止IP访问”这个策略，右键，指派，到这里为止我们就已经阻止了192.168.1开头的网段

具体步骤如下

开始菜单->设置->控制面板->管理工具->本地安全策略

依次打开

->点击"IP安全策略,在本地计算机" ->双击"服务器(请求安全设置)"

->在"所有IP通讯"前面打勾 然后双击打开 ->双击"所有IP通讯"(这里别忘了选中)

->点"添加" 下一步 ->描述里随便写 ->源地址默认不需要修改

->目标地址选择"一个特定的IP子网"

->IP地址输入你要封的IP段 例如你想封221.210.222 网段,你就在IP地址处填221.210.222.0

->子网掩码处填255.255.255.0 (这样,221.210.222.0 到 221.210.222.255这255个IP就都被封了)

(注意)如果你想封221.210网段 就在IP地址处填221.210.0.0 子网掩码填 255.255.0.0

这样就把221.210.0.0 到221.210.255.255之间的IP全封了

想封多个IP段,就重复添加

最后,别忘了指派一下(在服务器 请求安全设置上点右键->指派) 指派之后立即生效

提醒大家注意的:发现复制严重的地区 封IP段的同时 别封复制者的号 这样就可以随时观察他们会不会再用代理来上服务器了

在没有路由器和三层交换机的情况下，可以利用Windows 2003 Server 的路由和远程访问（RRAS）实现软路由，把多个网段连接起来。还可利用RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用（端口）的访问控制。

一、首先以两个网段为例，说明如何实现互联及其原理。

网络A：192.168.10.X 255.255.255.0

｜｜

网卡a：192.168.10.250

网卡b：192.168.0.7

｜｜

网络B：192.168.0.X 255.255.255.0

首先说明一下，对于此种简单互联，并不需要配置动态路由协议RIPv2或OSPF。动态路由协议是用于两个或两个以上路由器之间自动交换路由信息的，而这种情况只需要一台2000S计算机配两块网卡充当路由器。实现起来很简单，只需要在2000S上启用RRAS，选“网络路由器”即可。

原理如下：

A、未配置RRAS时

192.168.10.X---192.168.10.250：通，因为是同一网段的

192.168.10.X---192.168.0.7：通，是因为两个网卡都在同一台计算机2000S上，NT/2000默认启用“IP转发”。

也就是说在未启用RRAS时，在各自网段的计算机就都能PING通作为路由器的2000S的两个网卡IP,但这时不能PING通另外网段的计算机。

B、配置并启用RRAS后,192.168.10.X---192.168.0.X马上就通了。并不需要手动添加路由记录，或使用动态路由协议。因为2000S的RRAS会根据两块网卡的TCP/IP配置，自动生成两条记录,内容如下：

接口:网卡b(192.168.0.7)

目标:192.168.0.0

掩码:255.255.255.0

网关:192.168.0.7

意思就是：想访问192.168.0.X，走192.168.0.7这个口。

接口:网卡a(192.168.10.250)

目标:192.168.10.0

掩码:255.255.255.0

网关:192.168.10.250

意思就是：想访问192.168.10.X，走192.168.10.250这个口。

实现此种互联的其它方法：

方法一：利用默认网关互指。即：

网卡a的默认网关配：网卡b的IP

网卡b的默认网关配：网卡a的IP。

目的也是为了生成类似上面的二条记录，只不过目标是：0.0.0.0，掩码：0.0.0.0，它表示除了本机、本网络、组播地址……等等已指明路径以外所有的目标走默认网关。

方法二：利用ROUTE ADD命令手动添加两条路由记录。命令格式如下：

route add 192.168.0.0 mask 255.255.255.0 192.168.0.7 -p

route add 192.168.10.0 mask 255.255.255.0 192.168.10.250 -p

其中-p参数的意义是：添加一条永久记录，否则机器重启时，非永久（静态）记录会消失。

二、以三个网段互联为例，说明如何实现更多的网段互联

{网络A}==至A：R1：至B=={网络B}==至B2：R2：至C=={网络C}

R1到网络A、B的网卡分别为至A、至B

R2到网络B、C的网卡分别为至B2、至C

实现网络A、B、C软路由互联，可使用的方法：

1、手动路由记录（最麻烦，但容易掌握原理）

2、默认网关互指（也可了解原理）

3、RIPv2（最省事，中小型网络的动态路由协议：MS的说法，不超过50个路由器）

4、OSPF（最省事，大中型异构网络的动态路由协议）

方法一：以手动路由记录为例，说明原理：

1、要想使网络A能访问网络C，在R1配：

接口:至B

目标:网络C

掩码:网络C

网关:至B2

意思就是：A要访问C，从“至B”走，下一站是“至B2”。

2、要想使网络C能访问网络A，在R2配：

接口:至B2

目标:网络A

掩码:网络A

网关:至B

意思就是：C要访问A，从“至B2”走，下一站是“至B”

[说明]

1、两条记录都建好后,A和C之间才能通,因为PING命令是双向的，其它网络访问也一样

是双向。

2、四个、五个……更多网络互联时，也是类似的，都是在本地路由器上，通过路由记录指明下一个路由器是谁。至于到达下一个路由器之后怎么走，那就是下一个路由器的事了。

方法二：将“至B”和“至B2”的默认网关互指，即：

R1的至B网卡，默认网卡配：至B2

R2的至B2网卡，默认网卡配：至B

[说明]

方法一和方法二可以结合使用。因为手动配默认网关，也相当于手动路由记录。

方法三：RIPv2

在R1和R2上分别安装路由协议RIPv2，这样就不必手动路由记录了，动态路由协议将会自动在R1、R2上各生成一条记录。

[说明]

1、在RRAS中显示IP路由选择表时，可以看到由RIPv2生成的记录，其通讯协议注明来源于：RIP，而不象其它记录为：本地或网络管理。

2、RIP协议的原理是基于单播/组播/广播的周期公告，来与其它路由器交流网络路由信息的，周期公告间隔，默认为30秒。作实验时可适当调小，或多等一会儿。

方法四：OSPF

在R1和R2上分别安装路由协议OSPF，将会自动在R1、R2上各生成三条记录，通讯协议为：OSPF。

[说明]

1、三条记录中有一条是我们最需要的那个，其余两条与原有的来源于本地/网络管理的内容重复。

2、不能在R1上RIP2，在R2上OSPF这样交差混用。开放式最短路径优先OSPF是基于复杂的数据矢量算法的，在MS 2000S软路由上，两种协议无法交流路由信息。

三、利用2000S RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用（端口）的访问控制。

操作方法如下：

开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规：输入/输出筛选器。

[说明]

1、是输入还是输出，是相对RRAS这台计算机上的具体网卡而言的。

2、注意对话框上面的选项是：接收（还是丢弃）所有除符合下列的条件以外的数据包。

3、在源网络和目标网络设置中什么都不选：相当于“任何”。

4、如需针对具体应用作限制，选择协议及端口，如WEB服务器应为TCP：80口。其它的应用可查阅winnt\system32\drivers\etc\services和protocol文件。,

So~ 不想让他上网的就不要连接！ 不过你要仔细看明白我说的才可以！ RRAS要自己多试验几次 应该没问题

NAT是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。（其实就是网络地址转换）NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

第二。nat转换可以做什么？让内部网络中某台机器对外部提供某种特殊得服务。

第三。nat转换在什么地方可以做？路由器上，有路由功能，提供了nat转换服务得超作系统比如2000 server，都可以。

下面就是大家关心得怎么做了。

一般来说我推荐在2000得server下做nat转换，不推荐2000pro，这是由于服务器版本得2000能够提供更加好得性能。

1、我们要确认2000得路由功能已经启用，在Windows 2000 Server上是默认启用得，从管理工具中进入“路由和远程访问”（Routing and Remote Access）服务，在服务器上鼠标右击，－》“配置并启用路由和远程访问”

2、点“下一步”然后选则“Internet连接服务器”，让内网主机可以通过这台服务器访问Internet.（这里应该先配置好NAT共享，如果配好端口映射后再来配置NAT共享就有点麻烦，运气不好得话NAT就共享不了。用电脑也讲运气，，faint，，，，）

3、选“设置有网络地址转换（NAT）路由协议的路由器”，不选“设置Internet连接共享(ICS)”.(ICS与NAT的区别在于，ICS针对内部主机，它需要有一个固定的IP地址范围；针对与外部网络的通信，它被限制在单个公共IP地址上；它只允许单个内部网络接口，也就是说功能没有nat强大)

4、在“路由和远程访问服务器安装向导”中选“Internet连接”（就是连向Internet的那个连接），点“下一步”。

5、选“完成”ok

到目前为止，我们完成了nat共享得配置，下面得工作也许才是大家最关心得端口得映射！

6、添加NAT协议。右击“常规”，－》“新路由选择协议”

7、在“新路由选择协议”中选择“网络地址转换（NAT）”，点击“确定”

8、这样在“IP路由选择”中就多了一项“网络地址转换（NAT）”

9、右击“网络地址转换（NAT）”,添加“新接口”

10、在“网络地址转换（NAT）的新接口”中选择“Internet连接”

11、在“网络地址转换-Internet连接属性”中选中“公用接口连接到Internet”，复选“转换TCP/UDP头（最好这么做）”

12、在"地址池"选项表里添加你需要提供端口重定向的起始地址与结束地址.也就是你要拿出来搞端口映射的所有IP地址，一般情况下我们就一个IP地址，所以假设有1个地址，设置如下：

210.34.241.133

255.255.255.0

210.34.241.1

13、在"特殊端口"选项表里提供了你需要定向的数据连接协议（是TCP还是UDP协议，如Web和FTP就是TCP协议的），选准后“添加”

注意这里选择协议得时候是有点讲究得，你得内部服务器要对应什么服务这里就要选择是tcp得还是udp得，，比如代理qq这里就要用udp，而代理web得ftp这里要用tcp。

14、“添加特殊端口”，这里就是设置端口映射的核心了，把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置，由于设有“地址池”，所以可以在“公网地址”中添上“地址池”中的任一地址，这里添的是“210.34.241.133”，也就是我的地址，如果你在前面没有设置“地址池”，那么在这个选项页中“在此地址池项”为灰色不可选，你只能选“在此接口”，也就是你只有一个公网IP地址，这比较适合只有一个IP的朋友，可以不用“地址池”，何必做多余的设置呢？假如有问题的话，还不是自找麻烦。

“传入端口”就是别人从网外访问有公网IP的NAT服务器的端口，你自己想怎么填写就怎么填写。

“专用地址和传出地址”就是内部主机的IP地址和提供特殊服务的端口，这里是210.34.241.133上的8080端口映射到192.168.0.2上的80端口。

http://www.cn3wnet.com/viewthread_243.html

回答者：yj_boy7 - 首席运营官 十二级 10-1 13:08

我只能告诉你借用第三方软件，

要不你就直接重新建立服务器——ROS（软路由）

如果一定是要用WIN2003的话，那就只好你自己想办法解决这个问题

有些时候，借用第三方的软件比用微软的效果还要好！

在此建议，利用P2P终结者、聚生网管就可以了。

里面可以绑定IP、网关以及限制上行、下行等，具体用了就知道了。

---