routeos firewall 规则使用

ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop 丢掉所有经过ros访问目标135/tcp端口的数据包 ,但是不会限制访问ros本身135端口。
ip firewall filter add chain=input dst-port=135 protocol=tcp action=drop 丢掉本地访问ros目标135/tcp端口的数据包
ip firewall filter add src-address=192.168.0.100 action=accept chain=foreward 把ros上的IP从防火墙过滤出去,放在防火墙最前面不受规则影响(accept接受不受后面规则影响)
ip firewall fitter add chain=input action=drop connection-state=invalid 丢掉访问ros无效的连接
ip firewall fitter add chain=input action=drop protocol=tcp connection-limit=20,0 限制访问ros的tcp连接数
丢弃非法数据包
chain=forward action=drop connection-state=invalid
跳转到 ICMP 链表
chain=forward action=jump jump-target=ICMP protocol=icmp
跳转到病毒链表 virus
chain=forward action=jump jump-target=virus
限制每个主机 TCP/UDP 连接数为 150 条
chain=forward action=drop connection-limit=150,32
 
0 ;;; Ping 应答限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
1 ;;; Traceroute 限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept
2 ;;; MTU 线路探测限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept
3 ;;; Ping 请求限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept
4 ;;; Trace TTL 限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept
5 ;;; 丢弃掉任何 ICMP 数据
chain=ICMP protocol=icmp action=drop
 
connection-limit 限制每 IP 地址或 IP 地址段的连接数量
connection-bytes 匹配给定数据包连接的传输字节(bytes)。0-表示无穷大,例如:connection-bytes=2000000-0意思是该规则匹配超过2Mbytes的相关传输流量
content  匹配数据包包含的文本字段
 jump跳转
jump-target 创建或者跳转到指定表
posted @ 2020-05-20 15:31  菜鸟web  阅读(1449)  评论(0编辑  收藏  举报