请教一下我写的语句有什么作用
/ip firewall filteradd action=accept chain=input connection-state=established,related
add action=accept chain=input connection-state=new in-interface=PPPOE1 limit=1,5:packet protocol=tcp
add action=drop chain=input connection-state=new in-interface=PPPOE1 protocol=tcp
我的目的是
1 已有连接通过
2 新连接每分钟1个通过
3 其它新连接drop
input链是到路由器方向的
如果是经过路由器的用forward链
再就是边测试边调整了 第1行保留.
第2行整行拿掉.
第3行保留,但protocol=tcp 拿掉,讓tcp/udp都不可以進入.
connection-state=new也拿掉,因為封鎖沒必要區分封包是否新舊
/ip firewall filter防火牆分兩層面保護:
1.router : 使用的chain=input / output
2.pc :使用的chain=forward
當外面的連線進入路由器時會區分兩個路徑,一個是router,另一個是pc群組.
pc群組是躲在router後,
除非您在nat有指定連線映射到pc群組,
或者是pc群組發要求到遠端,從遠端回應到pc群組, 不然遠端是無法"主動"連接到pc群組去.
所以firewall filter防護重點落在router上 ,因為router永遠是連線的第一線 ,受衝擊永遠都是它.
這重點來了,router可不可以像pc群組一樣,
router自己發出的要求 ,遠端回應後router才開放進入...其它無關的一律丟棄.
可以的,
第1行即只允許router發出的要求,遠端回應進入.
第3行即除第1行允許進入的外,其餘殺無赦.
這是最完善的防火牆防護,只要這兩行就打死一堆關於防火牆方式了.
但除了第1行允許遠端回應外 ,您或許還必須允許vpn用戶與您的router連接.
在封鎖的"上方"加入需開放的vpn ,如:l2tp/ipsec
add action=accept chain=input protocol=udp dst-port=1701,500,4500
放在第1行之前,或者第1行後皆可 .重點只要在"封鎖行"進行封鎖前,先開放解禁就是.
页:
[1]