先說一下我的需求
由於有使用:偵測斷線會自動重撥號的排程
if ([:ping www.google.com interface=pppoe-out1 count=3]=0) do={/interface enable pppoe-out1}
所以防火牆
/ip firewall filter add chain=output out-interface=pppoe-out1 protocol=icmp action=drop
或
/ip firewall filter add chain=output src-address=!192.168.1.0/24 protocol=icmp action=drop
(非內網IP 192.168.1.x 則Drop)
上面這兩種設法,ping就會失效
然後挖到這篇文章…
http://bbs.routerclub.com/thread-74515-1-1.html
/ip firewall filter
add action=accept chain=input in-interface=pppoe-out1 protocol=icmp connection-state=established
add action=drop chain=input in-interface=pppoe-out1 protocol=icmp
這樣設…外網還是能ping進來…
請問要如何修改?讓外網不能ping,但rounterOS又能正常ping的方法?
個人積分:899分
文章編號:81421332
ipv4
add action=drop chain=input comment="\\B8T\\A5~\\BA\\F4 Ping" disabled=yes \
icmp-options=8:0 in-interface=all-ppp protocol=icmp
ipv6
add action=drop chain=forward comment="\\B8T\\A5~\\BA\\F4 Ping \\B0\\CF\\BA\\F4" \
disabled=yes icmp-options=128:0 out-interface=bridge protocol=icmpv6
關掉了,有些網頁得回ping 才開得比較快
個人積分:15分
文章編號:81424411
個人積分:1598分
文章編號:81430670
個人積分:15分
文章編號:81431857
個人積分:1598分
文章編號:81432450
qweruiop wrote:應該是firewall filter順序的問題,你沒把給您的規則置頂。
個人真的非常好奇…你(恕刪)
被action=accept相關省缺的影響到。
解釋一下參數好了:
connection-state=new 當這筆連線是新的。
所以當來源來自pppoe-out1接口時,且是新的連線時,drop連線。
若是您ping出去,對方回應你。回應的狀態便是relate,不是new,不會在drop的範圍內。
ipsec-policy=in,none 非ipsec相關的連線。
當您用iphone手機的ipsec或ikev2進行vpn連線,因ipsec與ikev2共用pppoe-out1隧道,
而非像pptp|l2tp|sstp|ovpn建立一個專屬隧道。
不標注ipsec為例外的話,會drop掉在pppoe-out1內任何已建立相關ipsec封包。
src-address-type=!local 將來源為自己的ip設為省缺。
您總有機會在router,ping自己的pppoe-out1 ip吧。
若不省缺就算ping的用戶為自己,連線狀態也一樣會是new...會被自己防火牆給drop掉。
以上...這些都是針對router。
若對象是本地的電腦,請將chain由input改為forward,再加上out-interface=bridge1即可。
個人積分:15分
文章編號:81433748
