这是场景。我目前正在办公室为我的路由器运行Mikrotik RB433AH。我有几个防火墙规则设置,一切都很好。我也配置了NAT。我现在需要从位于内部网络“192.168.0.10”,协议TCP和端口502的主机检索数据。我将从位于远程位置的服务器访问此内部主机使用静态IP地址。我需要允许这个IP,其他一切都需要被拒绝。
我添加了我的dst-nat规则,再次一切都很好。但是,由于添加了dst-nat规则,我可以从外部访问此内部主机,我只需要从位于数据中心的设备访问此内部主机。
从我到目前为止所读到的内容,我确实首先处理NAT规则,然后再处理防火墙过滤规则。这就解释了为什么我能够从外部访问这个设备。如何过滤外部世界访问此设备?
我是否需要在chain = forward的过滤规则中添加其他规则?到目前为止,我已经阅读了很多文档,现在情况非常朦胧,所以在这一点上任何帮助都会很棒。
提前致谢!
Ť
答案 0 :(得分:0)
是的,您需要制定防火墙规则,从特定地址到您的主机,并接受它,并放弃其他所有内容......这可以在一个规则中完成,使用!选项。
/ip firewall filter
add chain=forward src-address=!EXTERNALSERVERIP dst-address=192.168.0.10 action=accept
在更改之后,只有外部服务器可以访问您的本地主机。
答案 1 :(得分:0)
您需要将此规则放在最上面
/ ip firewall filter add chain = forward src-address = yourexternalipaddress dst-address = 192.168.0.10 action = accept
在该规则下方您需要执行此操作 / ip firewall filter add chain = forward dst-address = 192.168.0.10 action = drop
解释
当连接通过防火墙过滤规则时,它将被第一个规则检查..如果它匹配则它将被执行...如果不匹配则将传递给下一个规则..