Простой вопрос по правилу файрвола

Обсуждение ПО и его настройки
Ответить
TANDR
Сообщения: 1
Зарегистрирован: 10 апр 2019, 16:30

Есть такое правило:

Код: Выделить всё

 7    ;;; Accept all from WAN established, related
      chain=input action=accept connection-state=established,related in-interface=bridge-WAN log=no 
Почему оно пропускает пинги со внешних адресов с bridge-WAN интерфеса? Это же новые соединения, не established и не related.

Если добавить перед этим правилом такое:

Код: Выделить всё

 6    ;;; drop ICMP from WAN
      chain=input action=drop protocol=icmp in-interface=bridge-WAN log=yes log-prefix="DROP-WAN-ICMP--" 
, то пинги снаружи уже не проходят.
Если же поставить его после, то пинги обрабатываются правилом #7 (Accept all from WAN established, related) и успешно идут.

Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я не сильно спец по фаерволлу микротика.
Но по опыту могу сказать, что про ping надо просто знать, что его надо обрабатывать отдельно.


-13-
Сообщения: 124
Зарегистрирован: 18 мар 2021, 12:45

Если пинги проходят без разрешения, то у Вас firewall получается нормально открытый. Добавьте на WAN 2 правила, после разрешающих, сперва drop invalid, потом drop вообще всего.


Ответить