Разрешить пинг только в одном направлении

624
Alex

Как разрешить пинг с первого компьютера на второй, но заблокировать пинг со второго компьютера на первый?

Я создал это правило брандмауэра на обоих маршрутизаторах Mikrotik:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \ src-address=192.168.11.252 add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \ src-address=192.168.100.17 add action=drop chain=forward

Если я отключу первое или второе правило, ни один из пингов не сработает. Если я разрешу и то, и другое, пинг работает на обоих ПК.

1

2 ответа на вопрос

2
Alex

Для тех, кому нужен ответ:

На обоих маршрутизаторах я сопоставил ICMP тип 0 (эхо-ответ) с правилом:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \ src-address=192.168.11.252

На обоих маршрутизаторах я сопоставил тип ICMP 8 (эхо-запрос) с правилом:

add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \ src-address=192.168.100.17

Полные правила на обоих роутерах:

add action=accept chain=forward dst-address=192.168.100.17 icmp-options=0:0-255 \ protocol=icmp src-address=192.168.11.252 add action=accept chain=forward dst-address=192.168.11.252 icmp-options=8:0-255 \ protocol=icmp src-address=192.168.100.17 add action=drop chain=forward

Так с 192.168.100.17 до 192.168.11.252 - пинг работает.

С 192.168.11.252 по 192.168.100.17 - пинг не работает.

1
grawity

И «пинг» запросы и ответы являются ICMP. Таким образом, одно правило разрешает запрос, а другое - ответ в любом направлении.

Вы можете сопоставить отдельные типы пакетов ICMP, используя icmp-options=Type[:Code]. Согласно этому сайту, эхо-запросы относятся к типу 8, а ответы - к типу 0.

Обратите внимание, что ICMP - это нечто большее, чем просто пинг. На самом деле не стоит отказываться от сообщений об ошибках ICMP.

Спасибо. Кажется, это помогло. Я знаю важность ICMP, но на данный момент это была цель. Alex 5 лет назад 0

Похожие вопросы