windows服务器怎样屏蔽ip的方法

首先，如果是windows 2003操作系统，依次点击开始菜单-->管理工具-->本地安全策略。（windows XP操作类似）。下一步，然后取消激活默认选项规则，再下一步，完成。使用添加向导前的勾去掉。点“添加”按钮。

选择筛选器标签，添加，名称为“屏蔽的IP”，筛选器操作常规选项这里，选择“屏蔽”。即表示对属于这个组的IP都进行屏蔽。完成。

接下来可以添加IP筛选列表了，选择“IP筛选列表”标签，选择“添加”按钮，取消“使用添加向导”，点击添加，源位置选择“一个特定的IP地址”，输入IP，例如：60.101.111.222，目的地址选择“我的IP”，确定，确定，完成操作。

我已经下载并得到了chnroute.list，也创建好了ipset。

查了一下 ss好像有个--acl选项，[--acl <acl_file>] config file of ACL (Access Control List)

但是貌似给ss-server没有用。 这个是个ss-local用的吗？

但是我先前尝试在OUTPUT reject所有匹配ipset的访问，并且用ownerid 识别出只有SS的流量，但是想起来这样也屏蔽了SS返回给客户端的报文。

目前想到几个思路，

A 是在INPUT标记连接到SS-SERVER的端口 connmark ，然后在OUTPUT的屏蔽访问IP段ACL之前accept 标记的连接，不过还没有测试

B 是在OUTPUT 放行 SS-SERVER的SPORT端口发出的连接，然后屏蔽国内的段。但是缺点是多端口多用户，就要写多条了。

C 在SS前面在做一个代理服务器，用PID 标识那个代理服务器并限制其访问IP端。缺点应该是耗内存，然后https的透明代理要生成证书。

只能这样做：

你的局域网的IP地址和路由的不是一个地址段，网关是路由的IP地址，这样你的局域网可以通过路由上网。你分一根网线给那企业，告诉他网关地址即可，他的局域网IP如何设置就是他自己的事情了。

这样设置你们两个局域网各自独立，无法互相访问

---