RouterOS防火墙控制两个IP网络段单向访问

网络要求192.168.10.0/24能访问192.168.90.0/24，但192.168.90.0/24不能访问192.168.10.0/24，这样的设置涉及到TCP/IP的连接状态控制

首先允许已经建立连接和相关连接通过，即connection-state=established,related

/ip firewall filter add action=accept chain=forward connection-state=established,related

创建允许192.168.10.0/24网段能访问任意网络

/ip firewall filter add add action=accept chain=forward src-address=192.168.10.0/24

关键的配置在这里，禁止192.168.90.0/24的网络向192.168.10.0/24网络发起新的网络请求，即connection-state=new

/ip firewall filter add add action=drop chain=forward connection-state=new src-address=192.168.90.0/24 dst-address=192.168.10.0/24

该配置对于保护指定IP网络段提供了单向访问防护，此配置仅对TCP连接有效。