Vereisten: Omdat het apparaat een derde partij is en niet het interne systeem kan betreden, is het om databeveiligingsredenen noodzakelijk om het apparaat te verbieden toegang te krijgen tot het externe netwerk (internet), en hoeft alleen verkeer met het LAN-apparaat te verzenden.
Optie 1 (niet getest):
Om twee regels vast te stellen, moet je letten op de volgorde van prioriteit, als volgt:
Optie 2 (aanbevolen):
Een combinatiecommando wordt als volgt uitgevoerd:
Beide scenario's vereisen dat IP-binding niet-statisch is, en MAC-adresinstellingen worden aanbevolen voor dynamische toewijzingsrc-mac-adres。
In RouterOS, wanneer je handmatig firewallregels configureert, zoals dropregels, om bepaald verkeer te blokkeren, beïnvloeden deze regels meestal alleen nieuw gevestigde verbindingen. Voor verbindingen die al bestaan, blijft RouterOS pakketten van die verbindingen doorlaten totdat ze worden beëindigd of natuurlijk uitvallen.
Dit komt doordat firewallregels doorgaans werken op nieuwe verbindingsverzoeken (d.w.z. pakketten in een nieuwe toestand), terwijlVerbindingen die al zijn gelegd, worden niet direct onderbroken(d.w.z. het pakket in de gevestigde staat). Dit ontwerp is bedoeld om de stabiliteit en betrouwbaarheid van het netwerk te waarborgen, zodat plotselinge onderbrekingen van bestaande diensten en applicaties worden voorkomen.
Als u alle reeds gevestigde verbindingen onmiddellijk wilt beëindigen, moet u handmatig ingrijpen. Bijvoorbeeld:
(Einde)
|
Geplaatst op 03-11-2024 19:35:21
|
|
|
|
