Efter at have læst opslaget "[Del] ROS Prohibition PING Method", føler jeg, at alle ikke har en god forståelse for routerOS-firewall og grundlæggende TCP/IP-protokol. Her vil jeg dele mine synspunkter, så I kan diskutere og lære med mig.
En grund til, at jeg kan lide RouterOS, er, at RouterOS' firewallfunktion er meget fleksibel. RouterOS Firewall er en pakkefiltrerings-firewall, der gør det muligt at definere en række regler til at filtrere pakker ud, sendt til, fra og videresendt gennem RouterOS. RouterOS Firewall definerer tre firewall- (filtrerings-) kæder (dvs. input, forward, output), hvor du kan definere dine egne regler. hvor input refererer til de data, der sendes til selve RouterOS (dvs. destinations-IP'en er en IP-adresse i routerOS-grænsefladen); output betyder data, der sendes fra RouterOS (dvs. pakkens kilde-IP er en IP-adresse i routerOS-grænsefladen); Videresendelse betyder videresendelse gennem routerOS (for eksempel, hvis din interne computer tilgår et eksternt netværk, skal data videresendes gennem dit routerOS).
For eksempel i indlægget "[Deling] ROS-forbudsmetode PING skal vi generelt tilføje regler til inputkæden, fordi pakken sendes til routeros, og destinations-IP'en for pakken er en interface-IP-adresse for routeros.
(Selvfølgelig, hvis du insisterer på at opsætte en regel i outputtet for at filtrere ICMP-information fra, kan du også lave ping; når pakken, du pinger, når Routeos, kan RouteOS modtage pakken og svare, og når routerOS svarer på din pakke, der skal sendes, vil den tjekke reglerne for outputtet og filtrere de pakker, der svarer dig.) )
Hver regel i hver kæde har en mål-IP, en kilde-IP og en indkommende grænseflade (i interface), som er meget fleksibel til at etablere regler. For eksempel kan du i "[Share] ROS Prohibition PING Method" forhindre eksterne netværkspings fra routerOS, vælg blot det interface, du er forbundet til, det eksterne netværk i det indbyggede interface. Hvis du deaktiverer intern ping, kan du vælge at forbinde til dit interne netværk. Hvis alle pings er forbudt, vælger interfacet alle. Selvfølgelig skal du vælge icmp for at forhindre ping, og handling skal vælge drop eller afvis.
Det skal også bemærkes, at ICMP-protokollen ikke refererer til ping, men ping er en af ICMP-protokollerne (typen af ICMP-protokol er 8 og koden er 0, skrevet som icmp-options=8:0 i routeros; Og vi reagerer på pings (ICMP type 0-kode er 0), og mange andre ting hører også til ICMP-protokollen. For eksempel, hvis du forbyder det interne netværk at pinge alle eksterne netværk, kan du etablere en regel i forward chain, protokollen er ICMP, handlingen er drop, og de andre er standard, så pinger dit interne netværk ingen eksterne adresser, og hvis du bruger trancroute-kommandoen til at spore ruten, vil det ikke kunne spore ruten. Reglen er at være opmærksom på alle detaljer.
Desuden tillader de tre kæder input, output og forward alle data som standard i routerOS. Det vil sige, medmindre du eksplicit forbyder det i reglerne, er det tilladt. Du kan ændre standardpolitikken ved at sætte ip firewall input policy=drop osv.
Den er skrevet meget langtrukkent, så begyndere kan forstå den godt. Velkommen til diskussionen!
|
Opslået på 07/12/2015 17.50.26
|
|
|
