Professional Documents
Culture Documents
默认的防火规则有三种:input,output,forward 三种链。简单说一下每一种的作用:input 是指
作用于所有去访问路由器本身的数据流,output 是指作用于从路由器本身发出或者回应给
其他访问的数据流,forward 是指作用于通过路由器转发的数据流,主要是用于过滤内网用
户与外网的数据交互。
举些简单的应用例子:
1)假定不允许从 IP 地址是 192.168.1.100 的机器登录路由器:
[admin@MikroTik] > ip
[admin@MikroTik] /ip> firewall filter
[admin@MikroTik] /ip firewall filter> add chain=input src-address=192.168.1.100 action=drop
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=drop src-address=192.168.1.100
2)假定不允许路由器回应外网用户的 PING 探测:
[admin@MikroTik] /ip firewall filter> add chain=output protocol=icmp out-interface=wan icmp-
options=0 action=drop
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=drop src-address=192.168.1.100
1 chain=output action=drop protocol=icmp out-interface=wan
icmp-options=0:0-255
解释相关的部分参数:protocol 参数是指选择的协议,如 TCP,UDP,ICMP 等。icmp-options 意
思是指 ICMP 的选项,代码 0 表示:echo replay。
3)假定禁止内网的机器使用 192.168.1.200-192.168.1.220 的 IP 地址访问外部网络
[admin@MikroTik] /ip firewall filter> add chain=forward src-address=192.168.1.200-
192.168.1.220 action=drop
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=drop src-address=192.168.1.100
1 chain=output action=drop protocol=icmp out-interface=wan
icmp-options=0:0-255
2 chain=forward action=drop src-address=192.168.1.200-192.168.1.220
以上的规则,可以直接在“winbox”的“new terminal”中粘贴使用