1、源 MAC 地址過濾
在設置完基本的 bridge 後,我們進入 bridge filter 中配置橋防火牆過濾,首先我們需要對指定的一臺 PC 的 MAC: 00:E2:67:32:B4:81 地址做過濾,不允許與 bridge 的外部網絡連接,如下圖:
這個 MAC 是發起源,選擇 src-mac-address,由於這裡拒絕訪問 bridge 以外的網絡,選擇 chain=forward,, 設定 action=drop。RouterOS Winbox 配置如下:
接下來選擇 Action 為 drop,丟棄該 MAC 地址發出的數據:
注:我們設置 src-mac-address 時,後面跟著 MAC 掩碼,這個掩碼和我們 IP 層的子網掩碼類是,只是 MAC 掩碼是按照十六進制換算,十六進制的 FF 與 IP 掩碼的 255 是相同,規定網絡範圍,因為這裡是過濾一個臺主 機的 MAC 地址,所以我們設置 MAC 子網掩碼為 FF:FF:FF:FF:FF:FF。
2、目標 MAC 地址
反過來從外網訪問一個該主機,則是目標 MAC 過濾,只是之前我們設置的是 scr-mac-address,反過來填寫目 標的 MAC,即 dst-mac-address,我們還是用之前的 MAC 地址做事例
我們添加目標 MAC 地址過濾規則,選擇 dst-mac-address=00:E2:67:32:B4:81,dst-mac-address 默認 為全FF。
Action 同樣選擇 drop,丟棄到該目標 MAC 的數據。
下面我們可以在 filter 中看到 2 條規則,分別是控制從源地址和目標地址的數據,這樣設置後,我們可以理解為 對 00:E2:67:32:B4:81 主機數據的雙向過濾。
分享到:
閱讀更多 軟路由 的文章
