內網多 IP 段訪問控制 當 RouterOS 作為網關,並在 RouterOS 的內口配置多個 IP 地址段(通常用於 VLAN 區分不同的
辦公段、核心設備或區域劃分)連接多個 IP 子網段,當我們需要控制多個 IP 網段之間的訪問時,
需通過防火牆 filter 來完成。通過下面一個簡單實例介紹:
RouterOS 內網有 192.168.10.0/24 和 192.168.90.0/24 兩個網段,網關都配置在 RouterOS 內口
ether2 和 ether3,IP 地址配置:
/ip address
add address=192.168.10.1/24 interface=ether2
add address=192.168.90.1/24 interface=ether3
由於兩個網段涉及特殊業務,不能相互訪問,需要通過防火牆 filter 控制兩個段的互訪問
控制 IP 段訪問,進入 ip firewall filter 中添加一條 forward 規則為
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.90.0/24
action=drop
但在網絡裡希望 192.168.10.8/32 的主機訪問 192.168.90.0/24 的網絡
/ip firewall filter add chain=forward src-address=192.168.10.8/32 dst-address=192.168.90.0/24
action=accept
注:將允許 192.168.10.8 主機訪問 192.168.90.0/24 段規則移動到序列最上,即"0",優先執行。
閱讀更多 軟路由 的文章