1、源 MAC 地址过滤
在设置完基本的 bridge 后,我们进入 bridge filter 中配置桥防火墙过滤,首先我们需要对指定的一台 PC 的 MAC: 00:E2:67:32:B4:81 地址做过滤,不允许与 bridge 的外部网络连接,如下图:
这个 MAC 是发起源,选择 src-mac-address,由于这里拒绝访问 bridge 以外的网络,选择 chain=forward,, 设定 action=drop。RouterOS Winbox 配置如下:
接下来选择 Action 为 drop,丢弃该 MAC 地址发出的数据:
注:我们设置 src-mac-address 时,后面跟着 MAC 掩码,这个掩码和我们 IP 层的子网掩码类是,只是 MAC 掩码是按照十六进制换算,十六进制的 FF 与 IP 掩码的 255 是相同,规定网络范围,因为这里是过滤一个台主 机的 MAC 地址,所以我们设置 MAC 子网掩码为 FF:FF:FF:FF:FF:FF。
2、目标 MAC 地址
反过来从外网访问一个该主机,则是目标 MAC 过滤,只是之前我们设置的是 scr-mac-address,反过来填写目 标的 MAC,即 dst-mac-address,我们还是用之前的 MAC 地址做事例
我们添加目标 MAC 地址过滤规则,选择 dst-mac-address=00:E2:67:32:B4:81,dst-mac-address 默认 为全FF。
Action 同样选择 drop,丢弃到该目标 MAC 的数据。
下面我们可以在 filter 中看到 2 条规则,分别是控制从源地址和目标地址的数据,这样设置后,我们可以理解为 对 00:E2:67:32:B4:81 主机数据的双向过滤。
分享到:
閱讀更多 軟路由 的文章
