防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

發(fā)布時間：2020-08-06 07:38:15 來源：網(wǎng)絡(luò) 閱讀：781 作者：sporenet 欄目：網(wǎng)絡(luò)管理

此教程用途：

內(nèi)網(wǎng)IP過濾：如禁止某些IP上網(wǎng)。

外網(wǎng)IP過濾：禁止訪問某些外網(wǎng)IP。

一、內(nèi)網(wǎng)IP過濾：如禁止某些IP上網(wǎng)

拓?fù)淙缦拢?/p>

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

兩臺機器均可上網(wǎng)！

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

現(xiàn)在只允許254機器上網(wǎng)，不允許253機器上網(wǎng)。

那么我們要如何操作呢？

新建一條防火墻過濾規(guī)則：

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

動作為丟棄：

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

效果：

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

PC-1是毫無壓力可以訪問的，畢竟沒有被攔截。

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

原理分析：

在第一次路由之后，因為從第四口進來的數(shù)據(jù)包源IP和目的IP都不在路由器上的。就要選用forward鏈來進行轉(zhuǎn)發(fā)，然后通過NAT源地址出去。此時我們在Fliter表進行攔截forward鏈的數(shù)據(jù)，即可完成禁止符合規(guī)則的IP上網(wǎng)。

那么為什么能ping通網(wǎng)關(guān)呢？

因為網(wǎng)關(guān)的地址在第一次路由后就是另一個方向了，目的地址在ROS路由器上。

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

二、禁止訪問某些外網(wǎng)IP

同理，還是要使用到forward鏈

假設(shè)我禁止訪問8.8.8.8，針對所有的內(nèi)網(wǎng)192.168.11.0/24的IP。

我們只需要新加一條規(guī)則

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

動作還是選擇丟棄！

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

測試效果

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

其實Mikrotik ROS 的過濾過濾規(guī)則還可以應(yīng)用在路由與路由之間的過濾限制，和vlan之間的過濾限制，但是我們還沒有接觸這些東西，所以到時候我們接著講這些內(nèi)容。

向AI問一下細(xì)節(jié)

防火墻過濾規(guī)則案例-從零開始學(xué)RouterOS系列04

一、內(nèi)網(wǎng)IP過濾：如禁止某些IP上網(wǎng)

二、禁止訪問某些外網(wǎng)IP

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽

二、禁止訪問某些外網(wǎng)IP