VLAN 间路由块如何工作?

VLAN 间路由块如何工作?

我在不同的子网上为管理员设置了 VLAN10,为办公室设置了 VLAN20。目前它们由路由器自动路由。我希望管理员能够访问办公室的内容,但不希望办公室能够访问管理员的内容。

我创建了一个防火墙,阻止 VLAN 办公室访问管理员。但这让我很困惑,管理员还能访问办公室吗?难道不应该是双向协议吗?假设管理员发起与办公室的连接,但办公室无法回复,从技术上讲,管理员也无法与办公室通信。

我正在使用 mikrotik 并遵循以下规则 /ip firewall filter add chain=forward action=drop in-interface=vlan-20 out-interface=vlan-10 comment="Block Office to Admin"

答案1

但这让我很困惑,管理员还能访问办公室吗?

取决于链中存在的其他规则。只有此规则,则不行。

假设管理员发起与办公室的连接,但办公室无法回复,从技术上讲,管理员也无法与办公室通话。

所以你需要允许仅有的响应此方向。有两种方法可以实现此目的...最简单的方法是使用 RouterOS 状态防火墙,它可以跟踪哪些数据包属于哪些连接。添加一条转发规则,允许数据包按其状态

connection-state=established,related action=accept

请记住,防火墙规则是从上到下处理的,因此您需要注意它们的放置顺序。特定的接受规则只有放置在全面拒绝规则之前才会起作用。

相关内容