А
это для защиты роутера.... если хочешь сеть защищать. то и форвард можно
Защитить сеть от других филиалов?
Size: a a a
2020 January 10
АГ
in-interface=eth1_ISP01 - меняем на interface-list=WAN
ну это да. в примере частный случай с рабочего роутера
IO
Защитить сеть от других филиалов?
не, в этом плане тут всё логично. с приватными адресами на ether1 другие филиалы не придут
IO
Непонятно, зачем это всё, когда можно просто
chain=input action=drop сonnection-state=!established,!related in-interface-list=WANАГ
Непонятно, зачем это всё, когда можно просто
chain=input action=drop сonnection-state=!established,!related in-interface-list=WANэтот конфиг живёт с версии 5,22
NS
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=eth1_ISP01 src-address-list=BOGON
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface=eth1_ISP01 src-address-list=BOGON
Многие локальные адреса попадают в этот список так что возможно некоторые правила после внесение этого правила в файрвол не будут работать
IO
"всем известно, что наши предки лечились мышьяком и свинцом, а значит это хорошо"
АГ
"всем известно, что наши предки лечились мышьяком и свинцом, а значит это хорошо"
Твой вариант
Бесспорно элегантне
chain=input action=drop сonnection-state=!established,!related in-interface-list=WANБесспорно элегантне
IO
он не мой
АГ
он не мой
да это и не важно 😂
А
Непонятно, зачем это всё, когда можно просто
chain=input action=drop сonnection-state=!established,!related in-interface-list=WANИсмп забыл разрешить. Диана заругает
АГ
Исмп забыл разрешить. Диана заругает
может dude?
PZ
Исмп забыл разрешить. Диана заругает
мту пас заругает)
MT
я нимагу, я с десктопного клиента
Это не отмазка, десктопный тоже умеет, просто ты в 6 классе ещё не научился
IO
Исмп забыл разрешить. Диана заругает
РАЗРЕШАЮ!
E
Это не отмазка, десктопный тоже умеет, просто ты в 6 классе ещё не научился
I
Непонятно, зачем это всё, когда можно просто
chain=input action=drop сonnection-state=!established,!related in-interface-list=WANпомоему это не заменяет блокировку богонов от провайдера
IO
а по-моему заменяет
E
реверсивная логика порочна
I
если первым правилом поставить никто легальный не подключится же