ROS禁止外网ping,内网可正常ping
目的是内网可以PNG通外网PING不通..ping 用的就是icmp协议
完全限制PING不通就用ICMP所有类型
禁止外网PING就限制ECHO REQUEST包
add chain=outputdst-address=公网IP protocol=icmp action=drop
本帖最后由 cspm333 于 2016-5-14 15:14 编辑
其實這串討論有嚴重的瑕疵:(
就算chain從output換成input讓外網ping不進wan ,
卻同時也會讓router的工具完全ping不出去,同時netwatch也會出問題...
原因網路是雙向的,
您封鎖了wan ,讓外網ping不進來;
但您ping到外網後,封包一樣要從wan返回,但此條目會連返回的icmp封包一起過濾.
這樣無限制封瑣icmp封包是不對的!!
所以封鎖應該只做主動的icmp封包 ,略過返回的icmp封包.
/ip firewall filter
add action=accept chain=input dst-address=10.10.10.10 protocol=icmp connection-state=established
add action=drop chain=input dst-address=10.10.10.10 protocol=icmp
或者
/ip firewall filter
add action=accept chain=input in-interface=pppoe-out1 protocol=icmp connection-state=established
add action=drop chain=input in-interface=pppoe-out1 protocol=icmp
为什么不是drop 外网input 本帖最后由 cspm333 于 2016-5-12 03:45 编辑
xuxi3201 發表於 2016-5-11 23:43
為什麼不是drop 外網input
因為樓主做法有誤,依您想法改input才是正解:D
要不然用output也可以 ,但10.10.10.10要換放在src-address才正確.
如果没有固定公网地址应该选哪个选项?input? 本帖最后由 cspm333 于 2016-5-14 14:51 编辑
cblhj 發表於 2016-5-14 08:44
如果沒有固定公網地址應該選哪個選項?input?
一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.
cspm333 发表于 2016-5-14 15:13
其實這串討論有嚴重的瑕疵
就算chain從output換成input讓外網ping不進wan ,
卻同時也會讓router的工具 ...
大哥在什么国家呀。。工作中也常用到ROS吗?
cspm333 发表于 2016-5-14 14:50
一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.
谢谢CSPm333 大哥的讲解
:lol学习了。 /ip firewall filter add action=drop chain=input protocol=icmp src-address-list=!LAN_IPs cspm333 发表于 2016-5-14 14:50
一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.
多谢指点.... 可以用icmp code来实现
页:
[1]