网络要求192.168.10.0/24能访问192.168.90.0/24,但192.168.90.0/24不能访问192.168.10.0/24,这样的设置涉及到TCP/IP的连接状态控制

首先允许已经建立连接和相关连接通过,即connection-state=established,related

/ip firewall filter add action=accept chain=forward connection-state=established,related

创建允许192.168.10.0/24网段能访问任意网络

/ip firewall filter add action=accept chain=forward src-address=192.168.10.0/24

关键的配置在这里,禁止192.168.90.0/24的网络向192.168.10.0/24网络发起新的网络请求,即connection-state=new

/ip firewall filter add action=drop chain=forward connection-state=new src-address=192.168.90.0/24 dst-address=192.168.10.0/24

以上规则必须按照顺序添加,该配置对于保护指定IP网络段提供了单向访问防护,此配置仅对TCP连接有效

打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

文章很值,打赏犒劳作者一下