gfx wrote:還好啦!! 4核心很強
可以interface(恕刪)
因為未來 可能改RB4011.... 也會把電腦移到C150網段... 到時候就會橋接了!!
目的要絕對的 切開+限速....RouterOS 真是便利
個人積分:4336分
文章編號:77449462
個人積分:4336分
文章編號:77449499
個人積分:112分
文章編號:77450378
個人積分:4336分
文章編號:77450532
個人積分:1463分
文章編號:77454525
個人積分:112分
文章編號:77467049
chain=input action=drop in-interface=eth1-WAN log=no log-prefix=""
結果 WebFig 中 system packages 按 Check For Updates 會無法找到 dns
參考了 https://unix.stackexchange.com/questions/323546/is-accepting-related-established-for-all-sources-in-iptables-considered-too-ope 的內容
在 drop 前加上下面的規則放寬
chain=input action=accept connection-state=established,related log=no log-prefix=""
就可以正常運作了。
不過,比較好奇的是,在沒放寬前,LAN 對 internet 的使用上也沒有遇到問題,
可能是從 LAN 的角度來看的話,優先級是先 ip firewall nat 後 ip firewall filter
而 ip firewall nat 的 masquerade 規則先被使用了,
而 routeros 的話,是看 ip firewall filter 吧?
個人積分:1603分
文章編號:77473233
chain=input action=drop in-interface=eth1-WAN log=no log-prefix=""
這是從ether1-WAN進入路由器的任何封包都進行丟棄,當然dns會無法正常連接。
這不是無法找到dns,而是您自己將dns伺服器的回覆封包給丟棄的。
加上connection-state=established,related會正常,
是因透過判斷封包是否是"已響應過的"。因已經dns伺服器響應過,所以允許進入;
而connection-state=invalid(無效的),new(新的) 連線則仍維持丟棄的原則不變。
至於您說先前router丟棄dns伺服器封包,卻不影響LAN...
是因為chain的關係。
路由器的封包會分為兩個方向處理,
一個是經nat轉發至電腦周邊,另一個是路由器自己吃下。
而chain就是標示路徑控制的位置。
當chain=output,input時,即標示為路由器自身;
而chain=forward則是標示nat轉發的路徑。
所以chain=input時您只是丟棄往路由器封包,
但電腦裝置(chain=forward)則不在列當然不受任何影響。
個人積分:2分
文章編號:77476870
個人積分:1603分
文章編號:77477505
個人積分:2分
文章編號:77478251
