OZ分享-吉家大宝官方博客网络要求192.168.10.0/24能访问192.168.90.0/24,但192.168.90.0/24不能访问192.168.10.0/24,这样的设置涉及到TCP/IP的连接状态控制
首先允许已经建立连接和相关连接通过,即connection-state=established,related
/ip firewall filter add action=accept chain=forward connection-state=established,related
创建允许192.168.10.0/24网段能访问任意网络
/ip firewall filter add add action=accept chain=forward src-address=192.168.10.0/24
关键的配置在这里,禁止192.168.90.0/24的网络向192.168.10.0/24网络发起新的网络请求,即connection-state=new
/ip firewall filter add add action=drop chain=forward connection-state=new src-address=192.168.90.0/24 dst-address=192.168.10.0/24
该配置对于保护指定IP网络段提供了单向访问防护,此配置仅对TCP连接有效。
未经允许不得转载:OZ分享-吉家大宝官方博客 » RouterOS防火墙控制两个IP网络段单向访问