Запретить ping из Интернета

[gmx]

Добрый день!

Коллеги, подскажите, как запретить ping микротика из внешней сети, то есть из интернета?
Есть правила в фаерволле
0 ;;; Added by webbox
chain=input action=accept protocol=icmp src-address-type=""

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=HomePPPoE

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=HomePPPoE

3 ;;; Added by webbox
chain=input action=drop in-interface=HomePPPoE

4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=HomePPPoE

5 ;;; Added by webbox
chain=customer action=accept connection-state=established

6 ;;; Added by webbox
chain=customer action=accept connection-state=related

7 ;;; Added by webbox
chain=customer action=drop


Если 0 правило ставлю drop, то ping прекращается и из локальной сети и из инета.
Хотелось бы, чтобы из локальной сети по-прежнему ping работал.

Спасибо

[alex_bratsk]

Нужно конкретно указать интерфейс на котором запретить пинг, иначе будет запрещаться на всех.

[gmx]

Забыл, что все не разрешено - запрещено.
Удалил 0 правило. И все, с WAN интерфейса не пингуется.

Но при этом с локальных интерфейсов продолжает пинговаться.

Вроде бы как и все хорошо.
Одно не понятно, почему с интерфейсов локального бриджа пингуется. Даже через
LoopBack тоже пингуется.

[gmx]

Уважаемый iSupport не ответит?

[iSupport]

тут надо знать схему сети и с какого интерфейса куда вы хотите чтобы пинговалось а с какого куда чтоб не пинговаось

chain у нас input
protocol icmp

нарисуйте схему на бумаге и появятся правила

[gmx]

Я правильно понимаю:

1. для локальных интерфейсов - разрешено все, что не запрещено, а

2. для туннельных (PPPoE) - запрещено все, что не разрешено???