ROS IP 防火墙应用(2) 3 customer none[admin@MikroTik] ip firewall> rule customer[admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established [admin@MikroTik] ip firewall rule customer> add protocol=udp [admin@MikroTik] ip firewall rule customer> add protocol=icmp [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25 [admin@MikroTik] ip firewall rule customer> add action=reject log=yes通过上述规则,我们在customer chain 中设定了对数据包的过滤规则,那么下面我要做的就是在forward chain 中做一个跳转,将所有进入到本地网的数据跳转到customer chain 中处理。[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer这样,所有通过路由进入到本地网络的数据包都将通过customer chain中的防火墙规则进行过滤。
Step 3为了强制本地网络的主机通过192.168.0.17这台代理服务器访问internet ,我们应该在forward 链中加入以下规则。(这个设置我觉得好像有点多余,是不是这里192.168.0.17起到了一层防火墙的作用,反正我是没有加这个规则)。[admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public [admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public[admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public
