Russian Users MikroTik | Форум пользователей MikroTik

Друзья, всем привет.
Возник глупый вопрос, как-то даже раньше не задумываясь делал примерно так. Это два правила, которые идут в самом конце после нужных разрешающих: Т.е. запрет трафика в интерфейс и из него (запрет всего, что явно не разрешено). Но не аналогично ли это такому? Когда вообще в качестве in-interface и out-interface в правиле может быть один интерфейс? оО Я как-то не сталкивался...

Да всё достаточно просто.
В первом случае мы делаем:
Запретить любую пересылку через роутер, когда приходит с любого интерфейса кроме cam10 и уходит через cam10 (то есть запрещает любой выход с cam10, если это не он сам)
Аналогично предыдущему действию, но наоборот (запрещает любой вход на cam10, если выходным не является сам cam10)
Не ясно зачем вообще нужны такие правила. Порт изначально сам в себя не станет засылать сигнал в контексте форварда.

Во втором случае мы делаем немного другие правила:
Запретить любую пересылку где выходом является cam10
Запретить любую пересылку, где входом является cam10

При первом рассмотрении правила немного нелепые. Возможно, если Вы дадите более подробную конфигурацию или пояснение, то всё встанет на свои места.

Возвращаясь к изначальному вопросу. Да. Одно и тоже. Но! В первом случае вы как бы разрешаете пересылку с cam10 на cam10, а во втором случае полностью запрещаете любой форвард через cam10.

Здравствуйте!
Это так сказать "окончательный запрет всего, чего явно не прописано".
По идее файрвол должен работать так: все, что не разрешено - запрещено.
Но у меня ситуация другая, рабочий роутер, настроенный до меня так, что приходится прибегать к таким "схемам".
Для input нет общего drop'a, там есть частные, все остальное - открыто.
Вот и страхуюсь.

В таком случае второй вариант является более надёжным

Спасибо вам за развернутый ответ =)