RouterOS IPv6防火墙设置-禁止端口(SSH)入站

IPv6地址空间非常大，基本不可能出现像IPv4那样非常频繁的端口扫描，但是注意，如果你主动的把IPv6地址暴露出去，那么就有一定风险，例如最经典的BT/PT应用，不限于各种IPv6的查询网站都会可能会对用户提交的地址进行端口扫描，实际在我身上发生的事情，引以为戒。

回归正题，如何阻断IPv6入站访问，如果使用前缀分发，内网都是以240e或者2408之类开头的全球可路由的单播地址，那么防火墙只是起到转发，并不在进行地址伪装，所以要控制防火墙的Forward Chain。

例如禁止SSH 22(TCP)入站

RouterOS的Connection State的定义参考:

• new: 对于无状态连接（如UDP），当连接表中没有相应的条目时，数据包被视为新的。对于有状态的协议（如TCP），开始新连接的TCP数据包（带有SYN标志）也被视为新的。
• invalid: 数据包不属于任何已知的有效连接，通常应该被丢弃。
• established: 数据包属于连接跟踪表中的现有连接。
• related: 数据包属于与现有连接相关的另一个连接，例如ICMP错误数据包或FTP数据连接数据包。
• untracked: 当使用RAW防火墙规则排除连接跟踪时，数据包的状态为notrack。这个规则会使所有转发的流量绕过连接跟踪，从而提高设备的数据包处理速度。