ROS禁止外网ping,内网可正常ping

用易-小卢

目的是内网可以PNG通外网PING不通..
ping 用的就是icmp协议
完全限制PING不通就用ICMP所有类型
禁止外网PING就限制ECHO REQUEST包
add chain=output  dst-address=公网IP protocol=icmp action=drop   

cspm333

其實這串討論有嚴重的瑕疵
就算chain從output換成input讓外網ping不進wan ,
卻同時也會讓router的工具完全ping不出去,同時netwatch也會出問題...

原因網路是雙向的,
您封鎖了wan ,讓外網ping不進來;
但您ping到外網後,封包一樣要從wan返回,但此條目會連返回的icmp封包一起過濾.
這樣無限制封瑣icmp封包是不對的!!

所以封鎖應該只做主動的icmp封包 ,略過返回的icmp封包.
/ip firewall filter
add action=accept chain=input dst-address=10.10.10.10 protocol=icmp connection-state=established
add action=drop chain=input dst-address=10.10.10.10 protocol=icmp

或者
/ip firewall filter
add action=accept chain=input in-interface=pppoe-out1 protocol=icmp connection-state=established
add action=drop chain=input in-interface=pppoe-out1 protocol=icmp

xuxi3201

为什么不是  drop 外网input

cspm333

xuxi3201 發表於 2016-5-11 23:43
為什麼不是  drop 外網input

因為樓主做法有誤,依您想法改input才是正解

要不然用output也可以 ,但10.10.10.10要換放在src-address才正確.

cblhj

如果没有固定公网地址应该选哪个选项？input?

cspm333

cblhj 發表於 2016-5-14 08:44
如果沒有固定公網地址應該選哪個選項？input?

一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.

hainanmm

cspm333 发表于 2016-5-14 15:13
其實這串討論有嚴重的瑕疵
就算chain從output換成input讓外網ping不進wan ,
卻同時也會讓router的工具 ...

大哥在什么国家呀。。工作中也常用到ROS吗？

cblhj

cspm333 发表于 2016-5-14 14:50
一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.

谢谢CSPm333 大哥的讲解

Ali

学习了。

echochio

/ip firewall filter add action=drop chain=input protocol=icmp src-address-list=!LAN_IPs

cblhj

cspm333 发表于 2016-5-14 14:50
一樣是input沒錯,若沒有固定的公網地址 ,
您可以捨棄地址,改選擇in-interface來源的端口也可以.

多谢指点....

tingshow163

可以用icmp code来实现