Požadavky: Protože zařízení je třetí strana a nemůže vstupovat do interního systému, je z důvodu bezpečnosti dat nutné zakázat zařízení přístup k externí síti (internetu) a přenášet provoz pouze přes LAN zařízení.
Možnost 1 (netestována):
Pro stanovení dvou pravidel je třeba věnovat pozornost pořadí priorit, a to následovně:
Možnost 2 (doporučená):
Kombinační příkaz se provádí následovně:
Oba scénáře vyžadují, aby IP binování bylo nestatické, a pro dynamické přiřazení se doporučuje nastavení MAC adresysrc-mac-address。
V RouterOS, když ručně nastavujete firewallová pravidla, jako jsou drop rules, aby blokovala určitý provoz, tato pravidla obvykle ovlivňují pouze nově navázaná připojení. Pro již existující spojení RouterOS nadále umožňuje průchod paketů z těchto spojení, dokud nejsou ukončeny nebo nevyprší čas.
Je to proto, že pravidla firewallu obvykle reagují na nové požadavky na připojení (tj. pakety v novém stavu), zatímcoJiž navázaná spojení nejsou okamžitě přerušována(tj. balíček v ustáleném stavu). Tento návrh má zajistit stabilitu a spolehlivost sítě a předcházet náhlým narušením stávajících služeb a aplikací.
Pokud chcete okamžitě ukončit všechna již navázaná spojení, musíte zasáhnout ručně. Například:
(Konec)
|
Zveřejněno 03.11.2024 19:35:21
|
|
|
|
