RouterOS防火墙控制两个IP网络段单向访问

网络要求192.168.10.0/24能访问192.168.90.0/24,但192.168.90.0/24不能访问192.168.10.0/24,这样的设置涉及到TCP/IP的连接状态控制

首先允许已经建立连接和相关连接通过,即connection-state=established,related

/ip firewall filter add action=accept chain=forward connection-state=established,related

创建允许192.168.10.0/24网段能访问任意网络

/ip firewall filter add add action=accept chain=forward src-address=192.168.10.0/24

关键的配置在这里,禁止192.168.90.0/24的网络向192.168.10.0/24网络发起新的网络请求,即connection-state=new

/ip firewall filter add add action=drop chain=forward connection-state=new src-address=192.168.90.0/24 dst-address=192.168.10.0/24

该配置对于保护指定IP网络段提供了单向访问防护,此配置仅对TCP连接有效。

未经允许不得转载:OZ分享-吉家大宝官方博客 » RouterOS防火墙控制两个IP网络段单向访问

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

置顶文章