elodie319 wrote:
RouterOS ...(恕刪)
感謝告知,已修改
gfx wrote:
請注意您使用的vpn...(恕刪)
已檢查及修改,感謝告知
tsengleoo wrote:給您一個概念:
感謝分享,看起來似...(恕刪)
網路不管是本地還是遠端,都是一進一出.
也就是本地送出"要求",遠端"回應;或者遠端"要求",本地來進行"回應".
所以有概念就像路由器有兩道門,一個進,一個出.
您只要在其中一道門派人監控,目的就達到了,不一定兩道都得鎖.
同時鎖兩道門,只會造成管理上的煩雜而已.
小弟的做法是:
不管是電腦(chain=forward src-address-list=All-Lan)
或是路由器(chain=output)連出的幾乎選擇開放,
但要進入電腦的(chain=forward dst-address-list=All-Lan)
或是路由器(chain=input)則就嚴加控管.
電腦除非您在nat設dstnat做映射,不然外面是無法主動連結到電腦.
而能讓外網連接到內部電腦的方法,就是靠"回應".
也就是所有的"回應",都是本地電腦先"要求"才會有的.
所以您只要讓同意的"回應"進來,其它的皆封殺,這樣掌控的目的就達成了.
路由器的功能不多,能讓外部主動要求連線的不外乎/ip server內的server ,或vpn功能.
所以除了server或vpn外,幾乎主動連結wan的全都可以鎖掉,只留被動(回應).這樣明了嗎?
=========================================
#4892討論的只有路由器,因為只有路由器才有可能主動被連結;
而電腦則因"被動回應",少主動被"要求"所以直接乎略(設dstnat的主機除外).
家用分享器防火牆大多有做到路由器(chain=input)這一部份;
但若您要更進階的安全防護,建置電腦(chain=forward)防護是少不得的.
=========================================
以下是小弟防火牆的總覽,不懂的地方可再另行討論:
內文搜尋
從 APP 打開
X