Permitir somente ping em uma direção

1

Como faço para permitir um ping do primeiro PC para um segundo, mas bloquear um ping do segundo PC para o primeiro?

Eu criei esta regra de firewall nos dois roteadores Mikrotik:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17
add action=drop chain=forward

Se eu desativar a primeira ou segunda regra, nenhum dos pings funcionará. Se eu permitir ambos, o ping funciona nos dois PCs.

    
por Alex 12.07.2018 / 12:55

2 respostas

1

Ambas as respostas 'ping' e são ICMP. Assim, uma regra permite a solicitação e outra permite a resposta, em qualquer direção.

Você pode corresponder tipos de pacotes ICMP individuais usando icmp-options=Type[:Code] . De acordo com este site , as solicitações de eco são do tipo 8 e as respostas são do tipo 0.

Note que o ICMP é um pouco mais do que apenas 'ping'. Não é sensato descartar as indicações de erro ICMP.

    
por 12.07.2018 / 15:12
2

Para quem precisa de uma resposta:

Em ambos os roteadores, eu combinei o tipo 0 do ICMP (resposta de eco) à regra:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252

Nos dois roteadores, eu combinei com o ICMP tipo 8 (solicitação de eco) para governar:

add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17

Conclua as regras em ambos os roteadores:

add action=accept chain=forward dst-address=192.168.100.17 icmp-options=0:0-255 \
    protocol=icmp src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 icmp-options=8:0-255 \
    protocol=icmp src-address=192.168.100.17
add action=drop chain=forward

Então de 192.168.100.17 para 192.168.11.252 - o ping está funcionando.

De 192.168.11.252 a 192.168.100.17 - o ping não está funcionando.

    
por 12.07.2018 / 17:54