Nachdem ich den Beitrag "[Share] ROS Prohibition PING Method" gelesen habe, habe ich das Gefühl, dass nicht jeder ein gutes Verständnis der RouterOS-Firewall und des grundlegenden TCP/IP-Protokolls hat. Hier werde ich meine Ansichten teilen, damit ihr mit mir diskutieren und lernen könnt.
Ein Grund, warum ich RouterOS mag, ist, dass die Firewall-Funktion von RouterOS sehr flexibel ist. RouterOS Firewall ist eine Paketfilter-Firewall, die es Ihnen ermöglicht, eine Reihe von Regeln zu definieren, um Pakete zu filtern, die an, von und von RouterOS weitergeleitet werden. RouterOS Firewall definiert drei Firewall-(Filter-)Ketten (d. h. Eingabe, Weiterleitung, Ausgabe), innerhalb derer Sie Ihre eigenen Regeln festlegen können. wobei sich die Eingabe auf die an RouterOS selbst gesendeten Daten bezieht (das heißt, die Ziel-IP ist eine IP-Adresse in der RouterOS-Schnittstelle); Ausgabe bedeutet die Daten, die von RouterOS gesendet werden (das heißt, die Quell-IP des Pakets ist eine IP-Adresse in der RouterOS-Schnittstelle); Weiterleiten bedeutet, über RouterOS weiterzuleiten (zum Beispiel, wenn dein interner Computer auf ein externes Netzwerk zugriff, müssen Daten über dein RouterOS weitergeleitet werden).
Zum Beispiel müssen wir im Beitrag "[Sharing] ROS prohibition PING method" in der Regel Regeln zur Eingabekette hinzufügen, da das Paket an Routeros gesendet wird und die Ziel-IP des Pakets eine Interface-IP-Adresse von RouterOS ist.
(Natürlich, wenn Sie darauf bestehen, eine Regel im Output einzurichten, um ICMP-Informationen herauszufiltern, können Sie auch Ping durchführen; wenn das von Ihnen gesendete Paket RouteOS erreicht, kann RouteOS das Paket empfangen und antworten, und wenn das RouterOS auf Ihr zu sendendes Paket reagiert, überprüft es die Regeln der Ausgabe und filtert die Pakete heraus, die Ihnen antworten.) )
Jede Regel in jeder Kette hat eine Ziel-IP, eine Quell-IP und eine eingehende Schnittstelle (In-Interface), die sehr flexibel ist, um Regeln zu etablieren. Zum Beispiel kannst du in der "[Share] ROS Prohibition PING Method" externe Netzwerkpings von RouterOS verhindern, indem du einfach die Schnittstelle auswählst, mit der du im In-Interface verbunden bist. Wenn du den internen Ping deaktivierst, kannst du dich mit deinem internen Netzwerk verbinden. Wenn alle Pings verboten sind, wählt die Schnittstelle alle aus. Um Ping zu verbieten, muss man natürlich icmp wählen, und Action sollte Fallen oder Ablehnen wählen.
Es sollte auch beachtet werden, dass sich das ICMP-Protokoll nicht auf Ping bezieht, sondern Ping eines der ICMP-Protokolle ist (der Typ des ICMP-Protokolls ist 8 und der Code ist 0, geschrieben als icmp-options=8:0 in RouterOS; Und wir reagieren auf Pings (ICMP-Typ-0-Code ist 0), und viele andere Dinge gehören ebenfalls zum ICMP-Protokoll. Wenn du zum Beispiel verbietest, dass das interne Netzwerk alle externen Netzwerke pingt, kannst du eine Regel in der Vorwärtskette etablieren, das Protokoll ist ICMP, die Aktion ist Fallen und die anderen Standardwerte, dann pingt dein internes Netzwerk keine externen Adressen, und wenn du den Befehl trancroute verwendest, um die Route zu verfolgen, kann es die Route nicht verfolgen. Die Regel ist, auf jedes Detail zu achten.
Außerdem ermöglichen die drei Ketten Eingang, Ausgabe und Weiterleitung standardmäßig alle Daten in RouterOS. Das heißt, es ist erlaubt, es sei denn, du verbietest es ausdrücklich in den Regeln. Du kannst die Standardrichtlinie ändern, indem du IP Firewall Eingaberichtlinie=Drop usw. einstellst.
Es ist sehr ausschweifend geschrieben, sodass Anfänger es gut verstehen können. Willkommen in der Diskussion!
|
Veröffentlicht am 07.12.2015 17:50:26
|
|
|
