我最近收到Mikrotik 路由器对于我的网络,我想创建 3 个彼此隔离但都可以访问互联网的网络:
- 个人电脑等的“主”网络
- 家庭自动化设备/电器的网络。我不希望这些主机能够访问其他网络,但我希望主网络上的某些特定主机能够访问此网络上的特定主机。
- 访客网络。我希望此网络上的主机只能访问互联网,并与其他网络完全隔离。
我已经能够通过以下方式使用网桥设置这三个网络这些说明并模仿路由器自带的默认配置。
听起来我现在需要定义防火墙规则来阻止网桥之间的流量,而这正是我需要一点帮助的地方。我的理解是 Mikrotik 防火墙软件基于 Linux iptables。
似乎有两个地方可以执行此操作: 中的主要防火墙配置
/ip firewall filter
和 中的桥接特定部分/interface bridge filter
。 哪一个最好用? 每种方法的优缺点是什么?我正在尝试使用桥接过滤器,但我的所有规则都有点交通栏图标旁边有图标,这对我来说不太好看。我找不到任何关于图标含义的解释。
我应该如何设置规则?为每个桥创建一堆单独的链是否更易于管理?如果是这样,应该如何组织链?
听起来我需要
forward
为此定义规则。是否也需要任何规则input
?output
我应该让规则与网桥/接口(即入网桥、出网桥、WAN 接口等)相匹配,对吗?例如,为了阻止从主网络到家庭自动化网络的数据包,我需要一条类似于入网桥=主出网桥=家庭自动化操作=DROP 的规则,对吗?
答案1
事实上,Mikrotik 设备会自动在网络之间进行路由。例如,考虑两个网络 10.0.0.1/16 和 192.168.1.0/24。如果您想阻止这两个网络之间的流量,只需添加两个防火墙规则
ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop
因此你可以在两个方向上丢弃数据包。