试验环境:
办公室 LAN 路由器 ROS 2.9.7
本地网段 Local - 192.168.0.0/24
IP - 192.168.0.100 - 192.168.0.250 Should have access only to SMTP and POP3 on internet (仅仅能上邮件)
IP - 192.168.0.0 - 192.168.0.99 - full access (完全不控制)
要求:只有部分机器要限制上网 仅仅给他们收发邮件 (SMTP/POP)
==============================================================
/ ip firewall address-list
add list=all_services address=192.168.0.x comment="full access list" disabled=no
注:这里自己添加自由访问的IP 手动或者作脚本都可以看你自己了
add list=mail address=192.168.0.100~250 comment="mail access list" disabled=no
注:添加限制访问的 列表
=====================================
这些表的控制
/ ip firewall filter
add chain=forward src-address-list=all_services action=accept comment="allow 192.168.0.x full access" disabled=no
允许 all_services 这个列表的IP访问所有的网络
add chain=forward protocol=tcp dst-port=110 src-address-list=mail action=accept comment="allow pop3 to 192.168.0.y" disabled=no
允许 特别限制的IP 访问110 (POP端口)
add chain=forward protocol=tcp dst-port=25 src-address-list=mail action=accept comment="allow smtp to 192.168.0.y" disabled=no
允许 特别限制的IP 访问 25 (SMTP端口)
add chain=forward src-address-list=mail action=drop comment="drop all other from
192.168.0.y" disabled=no
不允许 特别限制的IP访问 其他任何端口
经测试:仅收发邮件要开启的端口: icmp udp(53) tcp(53 25 110) 再DROP掉所有的任何端口