这是场景。我目前在我的办公室为我的路由器运行 Mikrotik RB433AH。我有几个防火墙规则设置,一切都很好。我也配置了 NAT。我现在需要从位于内部网络“192.168.0.10”、协议 TCP 和端口 502 上的主机检索数据。我将从位于远程位置的服务器访问此内部主机使用静态 IP 地址。我需要允许这个 IP,其他一切都需要被拒绝。
我添加了我的 dst-nat 规则,再次一切都很好。但是,由于添加了 dst-nat 规则,我可以从外部访问这个内部主机,我需要让这个内部主机只能从我位于数据中心的设备访问。
从我目前所读到的内容来看,我确实相信首先处理 NAT 规则,然后处理防火墙过滤规则。所以这就解释了为什么我能够从外部访问这个设备。如何过滤外界访问此设备?
我是否需要在 chain=forward 的过滤规则上添加另一个规则?到目前为止,我已经阅读了很多文档,现在事情很模糊,所以在这一点上任何帮助都会很棒。
提前致谢!
吨
是的,您需要制定防火墙规则,从特定地址到您的主机,并接受它,然后删除其他所有内容......这可以在单个规则中完成,使用!选项。
/ip firewall filter
add chain=forward src-address=!EXTERNALSERVERIP dst-address=192.168.0.10 action=accept
之后,只有您的外部服务器可以访问您的本地主机。
你需要把这条规则放在首位
/ip 防火墙过滤器添加链=转发 src-address=yourexternalipaddress dst-address=192.168.0.10 action=accept
在该规则下,您需要执行此 block /ip firewall filter add chain=forward dst-address=192.168.0.10 action=drop
解释
当连接通过防火墙过滤规则时,它将由第一个规则检查..如果匹配则将执行...如果不匹配将传递到下一个规则..