我有一个 EdgeRouter,我试图使用“拒绝”而不是“丢弃”来阻止某些机器的互联网访问。目标是被阻止的机器将很快断开与互联网的连接。事实上,我已经阻止了它,但它并没有很快失败。连接必须超时,每个应用程序可能需要 1 到 4 分钟。
我目前有 3 个网络群组
group {
network-group LocalOnly {
description "Local Lan Only"
network 192.168.0.0/16
}
network-group TheInternet {
description "Everything External"
network 0.0.0.0/1
network 128.0.0.0/2
network 192.0.0.0/3
network 224.0.0.0/4
}
network-group WindowsLaptops {
description "Windows Laptops"
network 192.168.1.54/31
}
}
我的防火墙设置如下
name BlockInternet {
default-action accept
description "Block Windows"
rule 1 {
action accept
description "Allow Local"
destination {
group {
network-group LocalOnly
}
}
log disable
protocol all
source {
group {
network-group WindowsLaptops
}
}
}
rule 2 {
action reject
description "Block Internet"
destination {
group {
network-group TheInternet
}
}
log disable
protocol all
source {
group {
network-group WindowsLaptops
}
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
我很确定WAN_IN并且WAN_LOCAL是默认的(虽然也许我的记忆力不好)
我添加了BlockInternet一个看起来很简单的命令。它似乎表示如果网络请求来自WindowsLaptops,则将LocalOnly允许该请求。如果请求来自,则TheInternet拒绝该请求。
但它并不像“拒绝”那样。我期望拒绝会立即发生。相反,应用程序(浏览器,其他)需要 1 到 4 分钟才能超时。
知道我做错了什么吗?
答案1
因此,我没有通过应用程序进行测试,ping而是通过测试,结果被拒绝了。ping使用上述配置,如果我切换“拒绝”->“丢弃”,则返回“目的地不可达”,而“超时”
但是,其他应用程序仍然超时。我从“拒绝”切换到“拒绝 tcp”,这也意味着我必须将协议切换到“tcp”。之后,应用程序开始超时!耶!
不过现在“ping”没有被阻止。所以我添加了第三条规则,即“拒绝”+“所有协议”,它似乎起作用了。
name BlockInternet {
default-action accept
description "Block Windows"
rule 1 {
action accept
description "Allow Local"
destination {
group {
network-group LocalOnly
}
}
log disable
protocol all
source {
group {
network-group WindowsLaptops
}
}
}
rule 2 {
action reject-tcp
description "Block Internet TCP"
destination {
group {
network-group TheInternet
}
}
log disable
protocol tcp
source {
group {
network-group WindowsLaptops
}
}
}
rule 3 {
action reject
description "Block Internet"
destination {
group {
network-group TheInternet
}
}
log disable
protocol all
source {
group {
network-group WindowsLaptops
}
}
}
}
应用程序现在启动得更快,而不必等待很长时间。
我不知道这是否正确或最好,但它似乎有效