找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 13375|回复: 2

[其它] 请教一下我写的语句有什么作用

[复制链接]
发表于 2017-2-10 23:58:58 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input connection-state=new in-interface=PPPOE1 limit=1,5:packet protocol=tcp
add action=drop chain=input connection-state=new in-interface=PPPOE1 protocol=tcp

我的目的是
1 已有连接通过
2 新连接每分钟1个通过
3 其它新连接drop

routeros
发表于 2017-2-12 22:02:40 | 显示全部楼层
input链是到路由器方向的
如果是经过路由器的用forward链
再就是边测试边调整了
routeros
回复

使用道具 举报

发表于 2017-2-13 00:46:00 | 显示全部楼层
第1行保留.
第2行整行拿掉.
第3行保留,但protocol=tcp 拿掉,讓tcp/udp都不可以進入.
connection-state=new也拿掉,因為封鎖沒必要區分封包是否新舊

/ip firewall filter防火牆分兩層面保護:
1.router : 使用的chain=input / output
2.pc :使用的chain=forward

當外面的連線進入路由器時會區分兩個路徑,一個是router,另一個是pc群組.

pc群組是躲在router後,
除非您在nat有指定連線映射到pc群組,
或者是pc群組發要求到遠端,從遠端回應到pc群組, 不然遠端是無法"主動"連接到pc群組去.

所以firewall filter防護重點落在router上 ,因為router永遠是連線的第一線 ,受衝擊永遠都是它.

這重點來了,router可不可以像pc群組一樣,
router自己發出的要求 ,遠端回應後router才開放進入...其它無關的一律丟棄.

可以的,
第1行即只允許router發出的要求,遠端回應進入.
第3行即除第1行允許進入的外,其餘殺無赦.

這是最完善的防火牆防護,只要這兩行就打死一堆關於防火牆方式了.

但除了第1行允許遠端回應外 ,您或許還必須允許vpn用戶與您的router連接.
在封鎖的"上方"加入需開放的vpn ,如:l2tp/ipsec
add action=accept chain=input protocol=udp dst-port=1701,500,4500

放在第1行之前,或者第1行後皆可 .重點只要在"封鎖行"進行封鎖前,先開放解禁就是.

routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-22 12:12 , Processed in 0.055940 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表