След като прочетох публикацията "[Сподели] ROS Prohibition PING Method", смятам, че не всеки има добро разбиране за защитната стена на routerOS и основния TCP/IP протокол. Тук ще споделя моите възгледи, за да можете да обсъждате и учите с мен.
Една от причините да харесвам RouterOS е, че функцията за защитна стена на RouterOS е много гъвкава. RouterOS Firewall е защитна стена за филтриране на пакети, която ви позволява да дефинирате серия от правила за филтриране на пакети, изпращани до, от и препращани чрез RouterOS. RouterOS Firewall дефинира три вериги от защитна стена (филтриране) (т.е. вход, препращане, изход), в рамките на които можете да дефинирате собствените си правила. където входът се отнася до данните, изпращани директно към RouterOS (т.е. дестинационният IP адрес е IP адрес в интерфейса на routerOS); output означава данните, изпращани от RouterOS (т.е. IP източникът на пакета е IP адрес в интерфейса на routerOS); Forward означава препращане през routerOS (например, ако вътрешният ви компютър има достъп до външна мрежа, данните трябва да се пренасочват през routerOS).
Например, в публикацията "[Споделяне] ROS забранен PING метод" обикновено трябва да добавим правила към входната верига, защото пакетът се изпраща към routerOS, а дестинационният IP адрес на пакета е интерфейсен IP адрес на routerOS.
(Разбира се, ако настоявате да настроите правило в изхода за филтриране на ICMP информация, можете също да използвате ping, когато пакетът, който пингвате, достигне Routeos, RouteOS може да приеме пакета и да отговори, а когато routeros реагира на вашия пакет, който трябва да бъде изпратен, ще провери правилата на изхода и ще филтрира пакетите, които отговарят на вас.) )
Всяко правило във всяка верига има целеви IP, изходен IP и входящ интерфейс (в интерфейса), което е много гъвкаво за установяване на правила. Например, в метода "[Share] ROS Prohibition PING Method" можеш да предотвратиш външни мрежови пингове от рутерите, просто избери интерфейса, към който си свързан към външната мрежа в вътрешния интерфейс. Ако изключиш вътрешния пинг, можеш да избереш да се свържеш към вътрешната си мрежа. Ако всички пингове са забранени, тогава интерфейсът избира всички. Разбира се, за да забраните пинга, трябва да изберете ICMP, а действието трябва да избере drop или reh.
Трябва да се отбележи също, че ICMP протоколът не се отнася до ping, но ping е един от ICMP протоколите (типът ICMP протокол е 8, а кодът е 0, записан като icmp-options=8:0 в routeros; И реагираме на пингове (код тип 0 на ICMP е 0), а много други неща също принадлежат към ICMP протокола. Например, ако забраните на вътрешната мрежа да пингва всички външни мрежи, можете да установите правило в forward chain – протоколът е ICMP, действието е прекъсване, а останалите по подразбиране, тогава вътрешната ви мрежа не изпраща външни адреси, и ако използвате командата trancroute за проследяване на маршрута, тя няма да може да проследи маршрута. Правилото е да обръщаш внимание на всеки детайл.
Също така, трите вериги на вход, изход и препращане позволяват всички данни по подразбиране в routerOS. Тоест, освен ако не го забраните изрично в правилата, това е позволено. Можеш да промениш стандартната политика, като зададеш ip firewall input policy=drop и т.н.
Тя е написана много подробно, за да могат начинаещите да я разберат добре. Добре дошли в дискусията!
|
Публикувано в 7.12.2015 г. 17:50:26 ч.
|
|
|
