Wymagania: Ponieważ urządzenie jest podmiotem trzecim i nie może wchodzić do systemu wewnętrznego, ze względów bezpieczeństwa danych konieczne jest zakazanie urządzenia dostępu do sieci zewnętrznej (Internetu) i przesyłanie ruchu jedynie przez urządzenie LAN.
Opcja 1 (nieprzetestowana):
Aby ustalić dwie zasady, należy zwrócić uwagę na kolejność priorytetów, w następujący sposób:
Opcja 2 (zalecana):
Polecenie kombinacji wykonuje się następująco:
Oba scenariusze wymagają, aby powiązanie IP było niestatyczne, a ustawienia adresu MAC są zalecane do przypisywania dynamicznegosrc-mac-address。
W RouterOS, gdy ręcznie konfigurujesz reguły zapory, takie jak reguły drop, blokujące określony ruch, reguły te zwykle dotyczą tylko nowo nawiązanych połączeń. Dla już istniejących połączeń RouterOS nadal pozwala na przepuszczanie pakietów z tych połączeń aż do momentu ich zakończenia lub naturalnego wygaśnięcia czasu.
Wynika to z faktu, że reguły zapory zazwyczaj działają na nowe żądania połączenia (czyli pakiety w nowym stanie), podczas gdyPołączenia już nawiązane nie są natychmiast przerywane(czyli pakiet w państwie ustanowionym). Taki projekt ma na celu zapewnienie stabilności i niezawodności sieci, unikając nagłych zakłóceń w istniejących usługach i aplikacjach.
Jeśli chcesz natychmiast zakończyć wszystkie już nawiązane połączenia, musisz interweniować ręcznie. Na przykład:
(Koniec)
|
Opublikowano 03.11.2024 19:35:21
|
|
|
|
