Router OS限制计算机访问网站

接到朋友的要求，需要将公司前台电脑只允许访问公司网站，而不让访问其他网站及qq聊天。
在VMware测试过程中，限制前台电脑访问公司网站折腾了很久，这里提供两种防火墙规则组合。
第一种组合是3条规则：

[admin@MikroTik] /ip firewall address-list> print

Flags: X - disabled, D - dynamic

# LIST ADDRESS

0 company 11.123.234.23

1 company 11.123.234.98

[admin@MikroTik] /ip firewall filter>add chain=forward action=accept protocol=tcp src-address=172.16.100.200 dst-address-list=company dst-port=80,8111

[admin@MikroTik] /ip firewall filter>add chain=forward action=drop protocol=tcp src-address=172.16.100.200 dst-port=80

[admin@MikroTik] /ip firewall filter>add chain=forward action=drop src-address=172.16.100.200 layer7-protocol=qq

解释一下：

因网站可能对应多个外网ip，所以我们使用address-list来组合该网站多个ip，这样方便在防火墙规则里调用。三条规则第一条是允许172.16.100.200（内网计算机ip）访问公司网站（调用address-list里的ip，具体见address-list里的内容），端口可以是你要访问公司网站的某一些特定的业务（比如有安全认证的应用）；第二条是禁止172.16.100.200访问所有的80端口地址（http服务端口，作用即是不让访问其他网站80端口，此时是可以ping通的）；第三条就是调用L7-protocol 7层协议包里的内容，禁止访问qq。