Разрешить пинг только в одном направлении

Question

Как разрешить пинг с первого компьютера на второй, но заблокировать пинг со второго компьютера на первый?

Я создал это правило брандмауэра на обоих маршрутизаторах Mikrotik:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17
add action=drop chain=forward

Если я отключу первое или второе правило, ни один из пингов не сработает. Если я разрешу и то, и другое, пинг работает на обоих ПК.

Answer 1

Для тех, кому нужен ответ:

На обоих маршрутизаторах я сопоставил ICMP тип 0 (эхо-ответ) с правилом:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252

На обоих маршрутизаторах я сопоставил тип ICMP 8 (эхо-запрос) с правилом:

add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17

Полные правила на обоих роутерах:

add action=accept chain=forward dst-address=192.168.100.17 icmp-options=0:0-255 \
    protocol=icmp src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 icmp-options=8:0-255 \
    protocol=icmp src-address=192.168.100.17
add action=drop chain=forward

Так с 192.168.100.17 до 192.168.11.252 - пинг работает.

С 192.168.11.252 по 192.168.100.17 - пинг не работает.

Answer 2

И «пинг» запросы и ответы являются ICMP. Таким образом, одно правило разрешает запрос, а другое - ответ в любом направлении.

Вы можете сопоставить отдельные типы пакетов ICMP, используя icmp-options=Type[:Code] . Согласно этому сайту, эхо-запросы относятся к типу 8, а ответы - к типу 0.

Обратите внимание, что ICMP - это нечто большее, чем просто пинг. На самом деле не стоит отказываться от сообщений об ошибках ICMP.