我在不同的子网上为管理员设置了 VLAN10,为办公室设置了 VLAN20。目前它们由路由器自动路由。我希望管理员能够访问办公室的内容,但不希望办公室能够访问管理员的内容。
我创建了一个防火墙,阻止 VLAN 办公室访问管理员。但这让我很困惑,管理员还能访问办公室吗?难道不应该是双向协议吗?假设管理员发起与办公室的连接,但办公室无法回复,从技术上讲,管理员也无法与办公室通信。
我正在使用 mikrotik 并遵循以下规则
/ip firewall filter add chain=forward action=drop in-interface=vlan-20 out-interface=vlan-10 comment="Block Office to Admin"
答案1
但这让我很困惑,管理员还能访问办公室吗?
取决于链中存在的其他规则。只有此规则,则不行。
假设管理员发起与办公室的连接,但办公室无法回复,从技术上讲,管理员也无法与办公室通话。
所以你需要允许仅有的响应此方向。有两种方法可以实现此目的...最简单的方法是使用 RouterOS 状态防火墙,它可以跟踪哪些数据包属于哪些连接。添加一条转发规则,允许数据包按其状态:
connection-state=established,related action=accept
请记住,防火墙规则是从上到下处理的,因此您需要注意它们的放置顺序。特定的接受规则只有放置在全面拒绝规则之前才会起作用。