電訊茶室 - Powered by Discuz! Board

標題: Mikrotik Firewall rules 的次序？ [打印本頁]

作者: vpn-learner 時間: 2019-2-25 13:09 標題: Mikrotik Firewall rules 的次序？

最近想学习在Mikrotik 写 Firewall rules，在网上看见有些网站介绍某某rules 必须在 drop rule 之前。。。。
那我可有否简化地把所有的action=accept 的rules放到最前几行，然后把action=drop 的rules放到最后几行就可以呢？？

但是我看其他的Examples 又不是这样，他们的action=accept 和 action=drop 的排列就好像梅花间竹的排列！
想请教师兄们有没有好的学习网站介绍一下如何为 Mikrotik router 写 Firewalls rules？

谢谢！

作者: gfx86674 時間: 2019-2-25 14:28

firewall rule是以先進先出為原則.
所以若rule的條件設置的環境彼此是有關聯的,那就會以上為優先.

若優先rule設置的是大範圍 ,那以下rule的小範圍都會無效;
若優先rule設置的是小範圍 ,那除優先rule外被包函的都可以在此行被觸發...

所以firewall filter白名單一定是action=accept擺在上,action=drop擺在最下.

部份action=drop擺在上的項目 ,
必是符合action=accept的條件,但您卻不希望在開放的名單內...

如:src-address=192.168.1.0/24 ,但不含192.168.1.250
所以會先設src-address=192.168.1.250 action=drop
再次之增設src-address=192.168.1.0/24 action=accept

這樣明白嗎?

作者: vpn-learner 時間: 2019-2-25 14:37

回復 2# gfx86674

谢谢师兄的解释，虽然也不能完全明白，但是有些基本的概念都清晰了。。
希望师兄以后能发多一些关于 Mikrotik filter rules 的文，让我们这些初哥们好好学习。。。。。

Thanks again！！

作者: vpn-learner 時間: 2019-2-25 18:31

回復 2# gfx86674

[attach]4299[/attach]

如果把上图的例子反过来，把action=accept 的句子行先，然后才action=drop，那后果又会如何呢？
望指教。谢谢！

作者: gfx86674 時間: 2019-2-25 22:52

回復 4# vpn-learner
drop這一行完全不會有作用

作者: vpn-learner 時間: 2019-2-26 11:47

谢谢师兄！

我又明白多一点了！

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)