Используемые советы должны подходить для версии ПО не ниже:
RouterOS 6.x.x
Моя текущая версия RouterOS 6.37.3
На маршрутизаторе Mikrotik CCR
При команде ping на IP адрес, который не установлен на конечном устройстве (сервере, принтере или пк), мы будем получать такое предупреждение:
ping 185.111.223.3
From 133.142.160.10 icmp_seq=1032 Destination Host Unreachable
From 133.142.160.10 icmp_seq=1033 Destination Host Unreachable
From 133.142.160.10 icmp_seq=1034 Destination Host Unreachable
From 133.142.160.10 icmp_seq=1035 Destination Host Unreachable
где:
185.111.223.3 – IP конечного клиента
133.142.160.10 – IP шлюза или маршрутизатора
Для урезания пакетов нужно прописать правило в фаерволе:
|
1 |
/ip firewall filter add action=drop chain=output comment="Destination unreachable is ICMP type 3" icmp-options=3:0-1 protocol=icmp |
Вывод в терминале у вас должен быть такой:
|
1 2 3 4 5 |
/ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; "Destination unreachable" is ICMP type 3. chain=output action=drop protocol=icmp icmp-options=3:0-255 log=no log-prefix="" |
Еще если у вас сессия BGP, желательно на ваши блоки IP адресов добавить blackhole
|
1 |
/ip route add distance=254 dst-address=156.173.176.0/22 type=blackhole |
где:
156.173.176.0/22 – ваш блок IP адресов
Для написания материала были использованы следующие статьи:
- Перераспределение статических маршрутов и суммирование – wiki.mikrotik.com
- How to disable host unreachable message reply to ICMP – forum.mikrotik.com
