背景
为了加强服务器的安全,计划对其封互联网,只允许访问内部网络。
思路
我们不使用网络设备的acl,而使用本身的路由设置。 通过增加内部网段的路由来实现。这样需要访问互联网的时候,可以临时配置默认路由。不需要通过网络同学调整策略。 更为灵活。
实现
假设办公网有很多网段,其中 10.0.0.0/8 和 172.22.0.0/20,其他为x.x.x./24。
脚本内容如下:
$IPSubNet='10.0.0.0','172.16.0.0','172.17.0.0','172.18.0.0','172.19.0.0','172.20.0.0','172.21.0.0','172.22.0.0'
$tmp = Get-NetRoute -DestinationPrefix 0.0.0.0/0
$gw = $tmp.NextHop
#Write-Output $gw
foreach ($i in $IPSubNet) {
if($i -eq "10.0.0.0") {
route add $i mask 255.0.0.0 $gw -p
}
elseif($i -eq "172.22.0.0") {
route add $i mask 255.255.240.0 $gw -p
}
else
{
route add $i mask 255.255.0.0 $gw -p
}
}
route delete 0.0.0.0
