routeos firewall 规则使用

ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop 丢掉所有经过ros访问目标135/tcp端口的数据包 ,但是不会限制访问ros本身135端口。

ip firewall filter add chain=input dst-port=135 protocol=tcp action=drop 丢掉本地访问ros目标135/tcp端口的数据包

ip firewall filter add src-address=192.168.0.100 action=accept chain=foreward 把ros上的IP从防火墙过滤出去，放在防火墙最前面不受规则影响（accept接受不受后面规则影响）

ip firewall fitter add chain=input action=drop connection-state=invalid 丢掉访问ros无效的连接

ip firewall fitter add chain=input action=drop protocol=tcp connection-limit=20,0 限制访问ros的tcp连接数

丢弃非法数据包

chain=forward action=drop connection-state=invalid

跳转到 ICMP 链表

chain=forward action=jump jump-target=ICMP protocol=icmp

跳转到病毒链表 virus

chain=forward action=jump jump-target=virus

限制每个主机 TCP/UDP 连接数为 150 条

chain=forward action=drop connection-limit=150,32

 

0 ;;; Ping 应答限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept

1 ;;; Traceroute 限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept

2 ;;; MTU 线路探测限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept

3 ;;; Ping 请求限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept

4 ;;; Trace TTL 限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept

5 ;;; 丢弃掉任何 ICMP 数据

chain=ICMP protocol=icmp action=drop

 

connection-limit 限制每 IP 地址或 IP 地址段的连接数量

connection-bytes 匹配给定数据包连接的传输字节（bytes）。0-表示无穷大，例如：connection-bytes=2000000-0意思是该规则匹配超过2Mbytes的相关传输流量

content  匹配数据包包含的文本字段

 jump跳转

jump-target 创建或者跳转到指定表