केवल एक दिशा में पिंग करने की अनुमति दें

मैं पहले पीसी से एक दूसरे के लिए एक पिंग की अनुमति कैसे दूं लेकिन पहले पीसी से दूसरे पीसी के लिए एक पिंग ब्लॉक करूं?

मैंने यह फ़ायरवॉल नियम मिकरोटिक राउटर दोनों पर बनाया है:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17
add action=drop chain=forward

अगर मैं पहले या दूसरे नियम को बंद कर दूं, तो कोई भी काम नहीं करता है। यदि मैं दोनों की अनुमति देता हूं, तो दोनों पीसी पर पिंगिंग कार्य करता है।

दोनों 'पिंग' अनुरोध और प्रतिक्रियाएं ICMP हैं। तो एक नियम अनुरोध की अनुमति देता है और दूसरा प्रतिक्रिया की अनुमति देता है, दोनों दिशा में।

आप व्यक्तिगत ICMP पैकेट प्रकारों का उपयोग करके मिलान कर सकते हैं icmp-options=Type[:Code]। इस वेबसाइट के अनुसार , प्रतिध्वनि अनुरोध प्रकार and हैं और प्रतिक्रियाएँ ० टाइप हैं।

ध्यान दें कि ICMP केवल 'पिंग' से थोड़ा अधिक है। आईसीएमपी त्रुटि संकेतों को त्यागना वास्तव में बुद्धिमान नहीं है।

उन लोगों के लिए जिन्हें उत्तर की आवश्यकता है:

दोनों रूटर्स पर मैंने ICMP टाइप 0 (इको रिप्लाई) का मिलान नियम से किया है:

add action=accept chain=forward dst-address=192.168.100.17 protocol=icmp \
    src-address=192.168.11.252

दोनों रूटर्स पर मैंने ICMP टाइप 8 (इको रिक्वेस्ट) का मिलान नियम से किया है:

add action=accept chain=forward dst-address=192.168.11.252 protocol=icmp \
    src-address=192.168.100.17

दोनों राउटर पर पूर्ण नियम:

add action=accept chain=forward dst-address=192.168.100.17 icmp-options=0:0-255 \
    protocol=icmp src-address=192.168.11.252
add action=accept chain=forward dst-address=192.168.11.252 icmp-options=8:0-255 \
    protocol=icmp src-address=192.168.100.17
add action=drop chain=forward

तो 192.168.100.17 से 192.168.11.252 तक - पिंग काम कर रहा है।

192.168.11.252 से 192.168.100.17 तक - पिंग काम नहीं कर रहा है।