域控制器的DNS怎样设置才能禁止域用户访问外网

域控制器网关设置更改一下，如路由器网关地址是19216811 把域控制器网关设置成19216801

，客服端IP网关改成域指派，所有客服端网关同控制器网关一样，客户端没权限更改IP，这样客户端登陆不了公网，但是内网可以共享相互访问，OK

1 IP 封禁 （这个是我们平时用得最多的）

# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222222222222' reject" 单个IP

# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='2222222220/24' reject" IP段

# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept" 单个IP的某个端口

这个是我们用得最多的。封一个IP，和一个端口 reject 拒绝 accept 允许

当然，我们仍然可以通过 ipset 来封禁 ip

# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip

# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222222222222

封禁网段

# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net

# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=2222222220/24

倒入 ipset 规则

# firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklistxml

然后封禁 blacklist

# firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'

2、IP封禁和端口

# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept"

只对19216812这个IP只能允许80端口访问 （拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）

# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812/24 port port=80 protocol=tcp accept"

只对19216812这个IP段只能允许80端口访问（拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）

3、双网卡内网网卡不受防火墙限制

# firewall-cmd --permanent --zone=public --add-interface=eth1

公网网卡–zone=public默认区域

# firewall-cmd --permanent --zone=trusted --add-interface=eth2

内网网卡–zone=trusted是受信任区域 可接受所有的网络连接

重新载入以生效

# firewall-cmd --reload

可以使用2个方式了,首先腾讯云服务器自带有安全组,你可以在安全组设置了,也可以在服务器自带的防火墙进行设置了你说的限制外国网络访问有些麻烦了,因为设置的都是ip,你不可能把国外所有的ip都知道吧。你可以允许一些IP进行访问了,其他的都进行拦截处理了。

通常都是DNS设置的问题。DNS是将域名转换为IP地址的服务，你上网的各种行为都是需要通过IP进行的，但我们平时记的都是域名，如果没有正确的DNS服务就无法按域名来访问。

检查DNS也很简单，先进入dos窗口，然后打ipconfig/all命令就能查出当前网络连接指定的DNS服务器地址。检测DNS是否有效，可以使用Nslookup命令。

还有一个可能是电脑上的网络连接设置不正确，只让IP自动获取 ，没设置DNS也自动获取，调出网络连接的属性，检查一下，将DNS项也配置成自动获取就成了。

如何阻止局域网电脑上外网？

1、通过路由器限制局域网内部电脑访问外网。

在此以H3C路由器为例，进入其后台Web管理界面，展开“安全专区”-“接入控制”-“MAC控制”选项卡，勾选“ 启用MAC地址过滤功能”选项，同时勾选“仅禁止MAC地址列表中的MAC访问外网”项，点击“启用”以启用MAC地址过滤功能。

2、接下来点击“新增”按钮以增加MAC地址过滤信息，如图所示，直接输入局域网电脑对应的MAC地址即可实现对特定计算机的阻止访问互联网行为。

3、获取电脑MAC地址的方法有多种，其中最简单的方法就是在MSDOS界面中，输入“getmac”并按回车键来获取。

4、根据路由器的功能特点，部分路由器还提供了针对“仅允许DHCP服务器分配的客户端访问外网”和“仅允许ARP静态绑定的客户端访问外网”功能，在此也可以做为禁止局域网电脑访问外网的一种策略。

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“1433”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 1433（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略。

最后就是激活策略

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

天互数据 杜超为您解答，希望能帮到你

　　百度“大势至内网安全卫士”，点击第一个网站进入。

　　点击“下载中心”—“内网安全卫士”，拉到最下面，点击“下载大势至内网安全卫士试用”进行下载。

　　下载完成，解压，先运行“WinpCapexe”安装驱动，然后再运行“LanProtectorexe”进行软件安装，按照提示直到“完成”。

　　然后从“开始”——>“程序”——>找到“大势至内网安全卫士”文件夹，然后点击里面的“LanProtectorexe”，即可启动“大势至内网安全卫士”。

　　选择工作网卡，在“请选择网卡”后面的框内，点击右侧的下拉三角，然后从中选择你当前上网所用的网卡。如果是笔记本可能会有两个网卡给予选择，当前再使用哪个就选择哪个网卡。

　　在“隔离选项”中，把“禁止访问内网”和“禁止访问外网”全部勾选上，然后点击“开始监控”。

　　扫描，并且把局域网主机列举到“黑名单”中，这个时候根据已知人员主机IP，勾选，并“移至白名单”。而未移至白名单的无法访问内网，也无法访问外网。