防火墙过滤规则案例-从零开始学RouterOS系列04

此教程用途：

内网IP过滤：如禁止某些IP上网。

外网IP过滤：禁止访问某些外网IP。

一、内网IP过滤：如禁止某些IP上网

拓扑如下：

两台机器均可上网！

现在只允许254机器上网，不允许253机器上网。

那么我们要如何操作呢？

新建一条防火墙过滤规则：

动作为丢弃：

效果：

PC-1是毫无压力可以访问的，毕竟没有被拦截。

原理分析：

在第一次路由之后，因为从第四口进来的数据包源IP和目的IP都不在路由器上的。就要选用forward链来进行转发，然后通过NAT源地址出去。此时我们在Fliter表进行拦截forward链的数据，即可完成禁止符合规则的IP上网。

那么为什么能ping通网关呢？

因为网关的地址在第一次路由后就是另一个方向了，目的地址在ROS路由器上。

二、禁止访问某些外网IP

同理，还是要使用到forward链

假设我禁止访问8.8.8.8，针对所有的内网192.168.11.0/24的IP。

我们只需要新加一条规则

动作还是选择丢弃！

测试效果

其实Mikrotik ROS 的过滤过滤规则还可以应用在路由与路由之间的过滤限制，和vlan之间的过滤限制，但是我们还没有接触这些东西，所以到时候我们接着讲这些内容。