MikroTik (2) kieltää laitetta käyttämästä ulkoista verkkoa, vain sisäisen verkon pääsyn

Pikku roisto · Julkaistu 3.11.2024 19.35.21

Vaatimukset: Koska laite on kolmas osapuoli eikä voi mennä sisäiseen järjestelmään, tietoturvan vuoksi on välttämätöntä kieltää laitetta pääsemästä ulkoiseen verkkoon (Internetiin) ja lähettää vain liikennettä LAN-laitteen kautta.

Vaihtoehto 1 (ei testattu):

Kahden säännön määrittämiseksi sinun täytyy kiinnittää huomiota prioriteettijärjestykseen seuraavasti:

Kirjautuminen näkyy.

Vaihtoehto 2 (suositeltu):

Yhdistelmäkomento tehdään seuraavasti:

Kirjautuminen näkyy.

Molemmissa skenaarioissa IP-sidonnan on oltava ei-staattinen, ja MAC-osoiteasetuksia suositellaan dynaamiseen määrittelyynsrc-mac-osoite。

RouterOS:ssä, kun määrität palomuurisäännöt, kuten drop-säännöt, manuaalisesti estämään tietyn liikenteen, nämä säännöt vaikuttavat yleensä vain vastikään muodostettuihin yhteyksiin. Jo olemassa oleville yhteyksille RouterOS sallii edelleen näiden yhteyksien pakettien kulkemisen, kunnes ne päättyvät tai aikakatkaistaan luonnollisesti.

Tämä johtuu siitä, että palomuurisäännöt vaikuttavat tyypillisesti uusiin yhteyspyyntöihin (eli paketteihin uudessa tilassa), kun taasJo luodut yhteydet eivät katkea välittömästi(eli paketti vakiintuneessa tilassa). Tämän suunnittelun tarkoituksena on varmistaa verkon vakaus ja luotettavuus, välttäen äkilliset häiriöt olemassa oleville palveluille ja sovelluksille.

Jos haluat katkaista kaikki jo muodostetun yhteyden välittömästi, sinun täytyy puuttua asiaan manuaalisesti. Esimerkiksi:

(Loppu)

[Vinkkejä] MikroTik (2) kieltää laitetta käyttämästä ulkoista verkkoa, vain sisäisen verkon pääsyn

Aiheeseen liittyvät julkaisut

Katsotut osuudet