阻断.jpg (56.42 KB, 下载次数: 0)
阻断1.jpg (27.75 KB, 下载次数: 0)
如图设置
在浏览器中打开一个新页面的话,无法打开
但是如果打开一个之前打开过的页面,还是可以打开
ping 网站也是一样,在成功ping后启动该规则,仍旧能成功ping...
同类bug
我ROS有配置如下规则,目的是192.168.90.X网段下的设备可以直接访问192.168.88.X下的设备
add chain=srcnat src-address=192.168.90.0/24 action=src-nat to-address=192.168.88.4(移动内网段改成了192.168.90.0/24,固定了获取的ip为192.168.88.4)
该规则未启动时,访问192.168.88.X设备直接超时,然后规则启动,可以正常访问,然后把规则关闭,访问仍旧能继续进行..
另外,为什么阻断访问外网,in interface list里是选择lan而不是wan?
评论
没人来。。。
评论
同用这个10年+ 了 没用过这个功能 帮顶吧
评论
没用过这玩意,爱莫能助
评论
第二个问题
防火墙都有INSIDE跟OUTSIDE区域的设定
评论
你配置好后,把ROS重启。肯定就没有这个问题了。
我估计是Fasttrack或Fast Path在作怪。这两个东西会让已经连接的链路跳过路由核心直接通信以提高效率。
评论
意思是这里是反过来?
外网对防火墙是LAN,内网是WAN?
评论
重启应该没用
不过如果是Fasttrack或Fast Path的问题那就没办法了
不开这个性能就着急了
评论
重启应该有用的。我好像也遇到过的。改防火墙的配置不起作用,重启就好了。看这张图就明白了,建立了连接后就走fastpath了,你再改防火墙就没有用了
QQ截图20180829094509.png (341.19 KB, 下载次数: 0)
评论
防火墙是起作用的
规则启动之后,你开一个新网站一样不能打开
但是刚才打开过的还是能打开
所以说没办法,这个bug
评论
问一下,我现在全局阻断了某地址访问外网
能让他能访问几个特定网站不
评论
fasttrack会导致功能失效
评论
linux防火墙中每个连接一般有4种状态,分别是new、established、related和invalid。每条防火墙规则对一个连接而言通常只匹配状态为new的包(这样可节省cpu),对established和related的包放行,丢弃invalid的包。这是你提到的第一个“bug”的原因。established状态也会超时,有内核参数可调。一般等重启或超时后这个“bug”会消失,也就是说这时防火墙规则会真正起作用。也可以通过脚本强制删除conntrack条目来达成。可以看看这里https://forum.mikrotik.com/viewtopic.php?t=42318
评论
不重启设备的情况下
多久会回到new的状态
评论
看着就复杂 喜欢pfsense 简单友好 功能还不差
评论
没用过routeros,不知道能否运行原生linux命令。linux下这样看:cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established,单位是秒,通常是个很大的数值。
评论
完全可以做到。ros本来是基于iptables的。看这个教程,花点时间学习就很好理解了
http://www.zsythink.net/archives/tag/iptables/
评论
我记得原先从哪里看到过mikrotik的规则最早是有队列排序的
后面取消了,规则在上下都不影响
评论
ros里面默认是一天(可以改),但是前题是连接没有数据流过后的一天才算。如果一直有通讯,这个连接不会失效的。三种可能连接会关闭,应用程序主动发close,重启ros,删除这一条连接。
评论
还是从上到下的,数据包匹配了就执行了,后面就不管了
评论
出口入口还是有点难以理解
对了,上面那个规则,in interface list里也可以留空吧?一样能禁止访问外网
评论
应该是可以的。每条过滤的原则是要把所有的自定义规则匹配上才算匹配成功,然后就做相应的动作。
否则数据会走到下一条去
评论
真的是头疼
dst.adress src.dress什么的都搞不懂
src.address不是源地址么
PPTP拨号地址池192.168.89.X
配置能访问192.168.88.X的地址
不应该是
add chain=srcnat srt-address=192.168.89.0/24 action=src-nat
to-address=192.168.88.X复制代码
吗,结果不用
结果只能
add chain=srcnat dst-address=192.168.89.0/24 action=src-nat
to-address=192.168.88.X复制代码
或者
add chain=srcnat src-address=192.168.89.0/24 action=masquerade复制代码
评论
我觉得第一个应该可以通。是不是防火墙还有其他规则?ros默认是input全丢,只有几个端口开放。
评论
我也觉得第一个能通,结果不能
没办法,搞不懂 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?