设为首页收藏本站
切换到窄版

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
自由的生活_软路由»交流 ::技术区:: RouterOS [求助]关于防火墙的规则
返回列表 发新帖
查看: 2733|回复: 6

[其它] [求助]关于防火墙的规则

[复制链接]
发表于 2005-11-10 08:28:54 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
我想我内网只可以上一个网站,其它网站都不可以打开设防火规则
[admin@http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0   dst-address=211.141.113.18/32:80 protocol=tcp action=accept

1   protocol=tcp action=drop

首先通过211.141.112.18这个网站
再drop全部网站
怎么我设了就是不行,什么网站都打不开,包括211.141.112.18这个网站,将0 1位置调换也不行,这到底是怎么回事呀!

再来一个例子
[admin@http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0   dst-address=:80 protocol=tcp action=accept

1   protocol=tcp action=drop

首先通过80端口
然后drop所有端口

可是没有效果测试一下,所有端口都封了,包括80端口,我想是不是我设置有问题,还是防火墙的规则我没搞好
大家帮我一下,好吗?

以上设置都是在forward设置的

通过80端口

通过80端口

drop所有端口

drop所有端口

防火墙有流量

防火墙有流量
routeros
回复

使用道具 举报

hufly
发表于 2005-11-10 09:11:20 | 显示全部楼层
我试了一下,
指定好输入 输出网络接口后就能实现你说的只能访问某个指定的网站,如果不指定网络接口会出现你说的这种情况,
我是在2.96下测试 的,
routeros
回复

使用道具 举报

bigworms
发表于 2005-11-10 10:13:38 | 显示全部楼层
forward同时包括进与出的
所以drop全部那行,必须包含源地址
routeros
回复

使用道具 举报

 楼主| 发表于 2005-11-10 10:58:56 | 显示全部楼层
hufly,请问一下输入接口是不是选内网网卡,输出接口是不是外网网卡。
最好你可不可以将你的配置贴出来给我看一下。
谢谢了
routeros
回复

使用道具 举报

 楼主| 发表于 2005-11-10 11:43:06 | 显示全部楼层
指定内网只能访问某一个网站教程

[admin@http://www.cnrot.cn] ip firewall rule forward> pr
Flags: X - disabled, I - invalid, D - dynamic
0   src-address=192.168.0.100/32 in-interface=lan
     dst-address=202.101.234.106/32 out-interface=wan protocol=tcp
     action=accept

1   src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop

第一步:
src-address=192.168.0.100/32 in-interface=lan
dst-address=202.101.234.106/32 out-interface=wan protocol=tcp
action=accept

输入接口:填内网网卡,一定记得不要选错了。
输出接口:填外网网卡,一定记得不要选错了。

第二步:
src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop

现在,工作站这台电脑就只能访问202.101.234.106这个网站了,别的网站访问不了。
希望大家可以学会,并且可以举一反三。
如果是全部内网的话就填192.168.0.0就可以了
如果是封端口的话,就要填写端口号
比如:选通过80
然后dorp所有端口。
好了,谢谢您的观赏。

指定内网只能访问某一个网站教程.rar

1.52 MB, 下载次数: 24
routeros
回复

使用道具 举报

发表于 2006-1-13 14:16:46 | 显示全部楼层

forward要注意方向问题

0   dst-address=211.141.113.18/32:80 protocol=tcp action=accept
这条允许所有发往211.141.113.18:80的数据包通过,
1   protocol=tcp action=drop
这台干调了所有其它的数据包,包括211.141.113.18:80发回的数据包,
所以虽然你可以发数据包给该地址,但却收不到它返回的数据包!!!

两个解决方法:
1、把第二句改为只干掉所有其它发出去的数据包:
src-address=192.168.0.100/32 in-interface=lan out-interface=wan action=drop
2、在第二句干掉所有其它数据包之前,再允许211.141.113.18:80发回的数据包,即加入这个forward:
src-address=202.101.234.106/32 action=accept

当然,第二个方法更好些
routeros
回复

使用道具 举报

发表于 2006-1-13 14:17:08 | 显示全部楼层
另外,你的winbox是中文版的,哪里有的下?
routeros
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-18 06:26 , Processed in 0.193070 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表