ros中防火墙如何能拒绝外网主动连接，允许内网连接外网。

谢谢各位的解答，第一位我看不明不好意思，对不起了。先用第二位的脚本用用看，也谢谢第三位的回答。

/ip firewall filter
add action=drop chain=input disabled=no in-interface=pppoe-out1

将 pppe-out改为你的外网网卡就OK了。NAT转发不受影响。

interface serial 1  (比如这个就是接外网的) ip access-group inboundfilters in ip access-group outboundfilters out ! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters permit tcp any any reflect tcptraffic (关键在这里 可以让回来的流量进来) ! ip access-list extended inboundfilters  permit eigrp any any   (这里可以添加你永久想放通的流量) deny icmp any any evaluate tcptraffic      (这里是响应上面reflect tcptraffic) 防火墙默认关闭外网访问内网的所有端口吗？ 如果是这样，那么内网的软件例如qq就访问不了外网？  那么如果内网的软件程序访问外网  就要把对应的端口开上？ 使得外网能访问上内网的软件程序？ 如果不是的话 例如qq访问外网， 外网回应内网的数据怎样通过防火墙进入内网？ 使得qq能够与外网通信

/ip firewall filer add action=accept chain=input connection-state=established disabled=no /ip firewall filer add action=accept chain=input connection-state=related disabled=no /ip firewall filer add action=drop chain=input disabled=no dst-port=!8291,80,5843,22 in-interface=WAN protocol=tcp ========================================= 一共三行。 1、2行是允许内网主动发起的连接通过。 3行 是禁用除了制定端口之外的外网访问。 interface=你的外网网卡名称 dst-port=!这里写你想开放的端口。 顺便鄙视一下推荐答案。

interface Serial 1 (比如这个就是接外网的) ip access-group inboundfilters in ip access-group outboundfilters out ! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters permit tcp any any reflect tcptraffic (关键在这里 可以让回来的流量进来) ! ip access-list extended inboundfilters permit eigrp any any (这里可以添加你永久想放通的流量) deny icmp any any evaluate tcptraffic (这里是响应上面reflect tcptraffic)

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息！