Po přečtení příspěvku "[Sdílet] metoda PING zákazu ROS" mám pocit, že každý nemá dobré pochopení firewallu routerOS a základního protokolu TCP/IP. Zde se podělím o své názory, abyste se mnou mohli diskutovat a učit se.
Jedním z důvodů, proč mám rád RouterOS, je, že funkce firewallu RouterOS je velmi flexibilní. RouterOS Firewall je firewall pro filtrování paketů, který umožňuje definovat řadu pravidel pro filtrování paketů odesílaných do, odcházejících a přeposílaných přes RouterOS. RouterOS Firewall definuje tři řetězce firewallu (filtrační) (tj. vstup, přesměrování, výstup), ve kterých si můžete definovat vlastní pravidla. kde vstup odkazuje na data odeslaná přímo RouterOS (tj. cílová IP adresa je IP adresa v rozhraní routerOS); output znamená data odeslaná z RouterOS (tj. zdrojová IP paketu je IP adresa v rozhraní routerOS); Přesměrování znamená přeposílání přes routerOS (například pokud váš interní počítač přistupuje k externí síti, data je třeba přeposílat přes routerOS).
Například v příspěvku "[Sdílení] ROS zákazu PING metody" obvykle potřebujeme přidávat pravidla do vstupního řetězce, protože paket je odesílán do routerů a cílová IP adresa paketu je rozhraní IP adresy routeros.
(Samozřejmě, pokud trváte na nastavení pravidla ve výstupu pro filtrování ICMP informací, můžete také použít ping – když váš pingnutí paket dorazí do Routeos, RouteOS ho přijme a odpověděl, a když routeros odpoví na váš paket k odeslání, zkontroluje pravidla výstupu a filtruje pakety, které vám odpovídají.) )
Každé pravidlo v každém řetězci má cílovou IP, zdrojovou IP a příchozí rozhraní (v rozhraní), které je velmi flexibilní pro stanovení pravidel. Například v metodě "[Share] ROS Prohibition PING Method" můžete zabránit pingům z routerů, stačí v rozhraní v in-interface vybrat rozhraní, ke kterému jste připojeni k externí síti. Pokud vypnete interní ping, můžete se rozhodnout připojit k interní síti. Pokud jsou všechny pingy zakázány, rozhraní vybere všechny. Samozřejmě, abyste pingu zakázali, musíte zvolit icmp a akce by měla zvolit drop nebo reject.
Je také třeba poznamenat, že protokol ICMP neodkazuje na ping, ale ping je jedním z ICMP protokolů (typ ICMP protokolu je 8 a kód je 0, zapisován jako icmp-options=8:0 v routeros; A reagujeme na pingy (ICMP typ 0 kód je 0) a mnoho dalších věcí také patří do protokolu ICMP. Například pokud zakážete interní síti pingovat všechny externí sítě, můžete nastavit pravidlo v forward chainu, protokol je ICMP, akce je drop a ostatní default, pak vaše interní síť nepinguje žádné externí adresy, a pokud použijete příkaz trancroute ke sledování trasy, nebude ji možné sledovat. Pravidlem je věnovat pozornost každému detailu.
Také tři řetězce vstupu, výstupu a přeposílání umožňují ve routerech výchozí všechna data. To znamená, pokud to výslovně nezakazujete v pravidlech, je to povoleno. Výchozí politiku můžete upravit nastavením IP firewall vstup politiky=drop atd.
Je napsán velmi rozvláčně, aby mu začátečníci dobře rozuměli. Vítejte v diskusi!
|
Zveřejněno 07.12.2015 17:50:26
|
|
|
