MikroTik (2) забороняє пристрою отримувати доступ до зовнішньої мережі, лише внутрішній доступ до мережі

Маленька покидька · Опубліковано 03.11.2024 19:35:21

Вимоги: Оскільки пристрій є третьою стороною і не може входити до внутрішньої системи, з міркувань безпеки даних необхідно заборонити пристрою доступ до зовнішньої мережі (Інтернету) і лише передавати трафік через LAN-пристрій.

Варіант 1 (не протестований):

Щоб встановити два правила, потрібно звертати увагу на порядок пріоритету, а саме:

Вхід видно.

Варіант 2 (рекомендовано):

Комбінація команд виконується наступним чином:

Вхід видно.

Обидва сценарії вимагають, щоб прив'язка IP була нестатичною, і для динамічного призначення рекомендуються налаштування MAC-адресSRC-MAC-адреса。

У RouterOS, коли ви вручну налаштовуєте правила міжмережевого екрану, такі як правила дропу, для блокування певного трафіку, ці правила зазвичай стосуються лише нововстановлених з'єднань. Для вже існуючих з'єднань RouterOS продовжує пропускати пакети з цих з'єднань до завершення або природного тайм-ауту.

Це пов'язано з тим, що правила міжмережевого екрану зазвичай діють на нові запити на підключення (тобто пакети у новому стані), тоді якЗ'єднання, які вже встановлені, не перериваються одразу(тобто пакет у встановленому стані). Ця конструкція спрямована на забезпечення стабільності та надійності мережі, уникаючи раптових перебоїв у роботі існуючих сервісів і додатків.

Якщо ви хочете негайно розірвати всі вже встановлені з'єднання, потрібно втручатися вручну. Наприклад:

(Кінець)

[Чайови] MikroTik (2) забороняє пристрою отримувати доступ до зовнішньої мережі, лише внутрішній доступ до мережі

Пов'язані дописи

Переглянуті розділи