Como faço para permitir um ping do primeiro PC para um segundo, mas bloquear um ping do segundo PC para o primeiro?
Eu criei esta regra de firewall nos dois roteadores Mikrotik:
add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
src-address=192.168.100.17
add action=drop chain=forward
Se eu desativar a primeira ou segunda regra, nenhum dos pings funcionará. Se eu permitir ambos, o ping funciona nos dois PCs.
Ambas as respostas 'ping' e são ICMP. Assim, uma regra permite a solicitação e outra permite a resposta, em qualquer direção.
Você pode corresponder tipos de pacotes ICMP individuais usando icmp-options=Type[:Code] . De acordo com este site , as solicitações de eco são do tipo 8 e as respostas são do tipo 0.
Note que o ICMP é um pouco mais do que apenas 'ping'. Não é sensato descartar as indicações de erro ICMP.
Para quem precisa de uma resposta:
Em ambos os roteadores, eu combinei o tipo 0 do ICMP (resposta de eco) à regra:
add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
src-address=192.168.11.252
Nos dois roteadores, eu combinei com o ICMP tipo 8 (solicitação de eco) para governar:
add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
src-address=192.168.100.17
Conclua as regras em ambos os roteadores:
add action=accept chain=forward dst-address=192.168.100.17 icmp-options=0:0-255 \
protocol=icmp src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 icmp-options=8:0-255 \
protocol=icmp src-address=192.168.100.17
add action=drop chain=forward
Então de 192.168.100.17 para 192.168.11.252 - o ping está funcionando.
De 192.168.11.252 a 192.168.100.17 - o ping não está funcionando.