此教程用途:
內網IP過濾:如禁止某些IP上網。
外網IP過濾:禁止訪問某些外網IP。
一、內網IP過濾:如禁止某些IP上網
拓撲如下:
兩臺機器均可上網!
現在只允許254機器上網,不允許253機器上網。
那麼我們要如何操作呢?
新建一條防火牆過濾規則:
動作爲丟棄:
效果:
PC-1是毫無壓力可以訪問的,畢竟沒有被攔截。
原理分析:
在第一次路由之後,因爲從第四口進來的數據包源IP和目的IP都不在路由器上的。就要選用forward鏈來進行轉發,然後通過NAT源地址出去。此時我們在Fliter表進行攔截forward鏈的數據,即可完成禁止符合規則的IP上網。
那麼爲什麼能ping通網關呢?
因爲網關的地址在第一次路由後就是另一個方向了,目的地址在ROS路由器上。
二、禁止訪問某些外網IP
同理,還是要使用到forward鏈
假設我禁止訪問8.8.8.8,針對所有的內網192.168.11.0/24的IP。
我們只需要新加一條規則
動作還是選擇丟棄!
測試效果
其實Mikrotik ROS 的過濾過濾規則還可以應用在路由與路由之間的過濾限制,和vlan之間的過濾限制,但是我們還沒有接觸這些東西,所以到時候我們接着講這些內容。