如何封鎖LAN端的IP

pili · 发表于 2024-2-10 22:47:33

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 pili 于 2024-2-10 22:49 编辑

請問我手上有一台RB750Gr3，LAN上Port5接一台NAS(192.168.58.228)，我要如何透過RB750Gr3控制同內網的設備都拒絕訪問192.168.58.228呢?

嘗試這樣設定卻攔截不到任何封包

登录/注册后可看大图

謝謝

lzw83 · 发表于 2024-2-11 20:52:58

你这是拒绝192.168.58.228访问其他设备

pili · 发表于 2024-2-12 02:44:37

懂意思

但封包有來有往，當其他設備訪問192.168.58.228，封包有去無回也等同達到封鎖的目的沒錯吧

不過現況是192.168.58.228還是可以正常訪問同LAN下的所有設備，也沒觸發那三條規則

另外補充192.168.58.228的gateway並沒有經過RB750Gr3的WAN

cspm333 · 发表于 2024-2-12 14:15:21

/bridge filter可以試試：

pili · 发表于 2024-2-13 16:41:04

本帖最后由 pili 于 2024-2-14 01:48 编辑

試了還是沒效

改鎖mac-address還是沒效果

不管IP或MAC，個別填來源或目標也是沒效果

cspm333 · 发表于 2024-2-16 17:16:26

那就nas換個網段吧，將nas網卡手動指定ip為192.168.59.228/24
router的bridge接口除192.168.58.1/24外，再新增192.168.59.1/24。

也就是bridge接口設2個gateway-ip，分別是192.168.58.1與192.168.59.1。
設完後192.168.58.x仍可以自由連接192.168.59.228(nas)；但這不是您的主要目的，您不希望192.168.58.x自由連接nas。

所以在/ip firewall filter新增：
add action=drop chain=forward src-address=192.168.58.0/24 dst-address=192.168.59.228

原本nas是192.168.58.228時，這規則是無用的(因為裝置同網時，區網連接是不經router的)；
但nas改為192.168.59.22時，192.168.58.x裝置接nas時因不在同區網勢必要經router做查詢的動作，此時防火牆就能有效發揮。

lzw83 · 发表于 2024-2-26 20:03:33

/ip fir fil add action=drop chain=forward dst-address=192.168.28.228，是禁止任意IP访问192.168.28.228
/ip fir fil add action=drop chain=forward src-address=192.168.1.1 dst-address=192.168.28.228，禁止192.168.1.1访问192.168.28.228
/ip fir fil add action=drop chain=forward src-address=!192.168.1.1　dst-address=192.168.28.228，禁止不是192.168.1.1的数据访问192.168.28.228
/ip fir fil add action=drop chain=forward dst-address=192.168.28.228 in-interface=LAN，禁止从LAN口进入的数据访问192.168.28.228

YiPing · 发表于 2024-3-22 08:10:17

你的思路就错了，ROS是路由器。
网络通讯，只有跨网段，才会需要路由器，同网段访问是不需要路由器的。也就是同网段访问时，交换机即可。
你把NAS和其他设备都放在同网段，那么这个报文根本就不经过路由器了。ROS上的规则自然就没作用。

账号		自动登录	找回密码
密码			注册

[其它] 如何封鎖LAN端的IP

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

点评