canerhsu wrote:鎖216.218.206.0/24就好啦
我也是在這慢慢的將...(恕刪)
我有一台routeros做pppoe server的服務,網段是10.10.10.0/24
在Routeros的上層有一台ip分享器qno可做電子布告欄 lanip為192.168.1.1
ether1接user使用pppoe撥號上網 ether2接ip分享器
routeros上除了pppoe server 的設定外我加了一條routing為dst0.0.0.0/0往ether2丟
分享器上的靜態路由得設定閘道所以我在ether2上加了一條10.10.10.254/24
分享器上的靜態路尤為dst10.10.10.0/24 gatewat10.10.10.254讓要去10的網段都往gateway丟
我的需求是讓pppoe server上來的流量都往分享器丟
目前pppoe撥上後只能Ping通分享器的lan無法上internet
這樣的話routeros這邊還需要調整什麼嗎?
canerhsu wrote:這是禁止216.218.206.0/24連到路由器,但不包含內網的Server.
就這樣對吧~我記得...(恕刪)
若想讓他連接到內網Server的能力都喪失,則再複製一行.但這次chain由input換成forward.
LoveTaiwan wrote:最簡單的就是建白名單,除了Router VPN使用的Port外.
如何自訂規則,建立自己的block list ?
從WAN連接Router的ip全部封掉.
要是您Router的VPN平常也是關閉的,那這樣就乾脆點格殺勿論囉
.再上個回覆中,v6.36前使用的防護有兩筆.
一個chain=input ,另一個chain=forward
input即針對Router ,forward即針對區網Server(包含您使用電腦或手機)
v6.36後,多了/ip firewall raw功能 ,多了chain=prerouting可定義:
chain=prerouting與chain=input/forward有何差別呢?
封包進入路由器透過NAT會分成兩個路徑,一個是交給Router,屬Router直接利用;
另一個是轉給其它內網需要的電腦.
而chain=prerouting則是標示未達Router NAT前的封包.
若用來防護即代表還沒進入Router,就已將嫌疑的封包捨棄.
論省資源,尤其是ddos這種以癱瘓硬體攻擊,必定是要交給/ip firewall raw做.
因為在/ip firewall filter封掉封包前,Router仍依規定要決策路徑.
但決策路徑後,封包卻選擇丟棄的...浪費決策的資源真的很可惜.
http://gregsowell.com/?p=5286
從連結觀察的到用/ip firewall raw防護ddos只需5%資源 ;/ip firewall filter卻佔了13%
總之RAW的好處多多就是了
!這項新特異功能加以善用.對硬體的負載是好處多很多.
內文搜尋
從 APP 打開
X