返回列表 發帖

Mikrotik Firewall rules 的 次序?

最近想学习在Mikrotik 写 Firewall rules,在 网上看见有些网站介绍 某某rules 必须在 drop rule 之前。。。。
那我可有否简化地 把所有的action=accept 的rules放到最前几行,然后把action=drop  的rules放到最后几行就可以呢??

但是我看其他的Examples 又不是这样,他们的action=accept 和 action=drop 的排列 就好像梅花间竹的排列!
想请教师兄们有没有好的 学习网站介绍一下 如何为 Mikrotik router 写 Firewalls rules?

谢谢!

谢谢师兄!

我又明白多一点了!

TOP

回復 4# vpn-learner
drop這一行完全不會有作用

TOP

回復 2# gfx86674


   

如果把上图的例子反过来, 把action=accept 的句子行先, 然后才action=drop, 那 后果又会如何呢?
望指教。谢谢!
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

回復 2# gfx86674

谢谢师兄的解释, 虽然也不能完全明白,但是有些基本的概念都清晰了。。
希望师兄以后能发多一些关于 Mikrotik filter rules 的 文, 让我们这些初哥们好好学习。。。。。

Thanks again!!

TOP

firewall rule是以先進先出為原則.
所以若rule的條件設置的環境彼此是有關聯的,那就會以上為優先.

若優先rule設置的是大範圍 ,那以下rule的小範圍都會無效;
若優先rule設置的是小範圍 ,那除優先rule外被包函的都可以在此行被觸發...

所以firewall filter白名單一定是action=accept擺在上,action=drop擺在最下.

部份action=drop擺在上的項目 ,
必是符合action=accept的條件,但您卻不希望在開放的名單內...

如:src-address=192.168.1.0/24 ,但不含192.168.1.250
所以會先設src-address=192.168.1.250 action=drop
再次之增設src-address=192.168.1.0/24 action=accept

這樣明白嗎?

TOP

返回列表