MikroTik (2) запрещает устройству получать доступ только к внешней сети

Маленькая мразь · Опубликовано 03.11.2024 19:35:21

Требования: Поскольку устройство является третьей стороной и не может войти во внутреннюю систему, с точки зрения безопасности данных необходимо запретить устройству доступ к внешней сети (Интернету) и передавать трафик только через локальное устройство.

Вариант 1 (не протестирован):

Чтобы установить два правила, нужно обратить внимание на порядок приоритета, а именно:

Вход виден.

Вариант 2 (рекомендуется):

Комбинационная команда выполняется следующим образом:

Вход виден.

В обоих случаях IP-привязка должна быть нестатичной, и для динамического назначения рекомендуется настройки MAC-адресаSRC-MAC-адрес。

В RouterOS, когда вы вручную настраиваете правила межсетевого экрана, такие как правила дропа, чтобы блокировать определённый трафик, эти правила обычно затрагивают только недавно установленные соединения. Для уже существующих соединений RouterOS продолжает пропускать пакеты из этих соединений до их завершения или естественного тайм-аута.

Это связано с тем, что правила межсетевого экрана обычно действуют на новые запросы соединения (например, пакеты в новом состоянии), тогда какУже установленные соединения не прерываются сразу(то есть пакет в установленном состоянии). Эта конструкция направлена на обеспечение стабильности и надёжности сети, чтобы избежать внезапных сбоев в существующих сервисах и приложениях.

Если вы хотите немедленно прекратить все уже установленные соединения, необходимо вмешаться вручную. Например:

(Конец)

[Чаевые] MikroTik (2) запрещает устройству получать доступ только к внешней сети

Связанные публикации

Просмотренные разделы