Αφού διάβασα την ανάρτηση "[Share] ROS Prohibition PING Method", πιστεύω ότι όλοι δεν έχουν καλή κατανόηση του τείχους προστασίας του routerOS και του βασικού πρωτοκόλλου TCP/IP. Εδώ θα μοιραστώ τις απόψεις μου για να συζητήσετε και να μάθετε μαζί μου.
Ένας λόγος που μου αρέσει το RouterOS είναι ότι η δυνατότητα τείχους προστασίας του RouterOS είναι πολύ ευέλικτη. Το Τείχος προστασίας του RouterOS είναι ένα τείχος προστασίας φιλτραρίσματος πακέτων που σας επιτρέπει να ορίσετε μια σειρά κανόνων για να φιλτράρετε τα πακέτα που αποστέλλονται προς, από και προωθούνται μέσω του RouterOS. Το Τείχος προστασίας του RouterOS ορίζει τρεις αλυσίδες τείχους προστασίας (φιλτράρισμα) (δηλαδή είσοδος, προώθηση, έξοδος) εντός των οποίων μπορείτε να ορίσετε τους δικούς σας κανόνες. όπου η είσοδος αναφέρεται στα δεδομένα που αποστέλλονται στο ίδιο το RouterOS (δηλαδή, η IP προορισμού είναι μια διεύθυνση IP στη διεπαφή του routerOS). έξοδος σημαίνει τα δεδομένα που αποστέλλονται από το RouterOS (δηλαδή, η IP πηγής πακέτου είναι μια διεύθυνση IP στη διεπαφή του routerOS). Προώθηση σημαίνει προώθηση μέσω του routerOS (για παράδειγμα, εάν ο εσωτερικός υπολογιστής σας έχει πρόσβαση σε εξωτερικό δίκτυο, τα δεδομένα πρέπει να προωθηθούν μέσω του routerOS σας).
Για παράδειγμα, στην ανάρτηση "[Κοινή χρήση] μέθοδος PING απαγόρευσης ROS", γενικά πρέπει να προσθέσουμε κανόνες στην αλυσίδα εισόδου επειδή το πακέτο αποστέλλεται στο routeros και η IP προορισμού του πακέτου είναι μια διεύθυνση IP διεπαφής του routeros.
(Φυσικά, εάν επιμένετε να ορίσετε έναν κανόνα στην έξοδο για να φιλτράρετε τις πληροφορίες ICMP, μπορείτε επίσης να κάνετε ping, όταν το πακέτο που κάνετε ping φτάσει στο Routeos, το RouteOS μπορεί να λάβει το πακέτο και να απαντήσει και όταν το routeros ανταποκριθεί στο πακέτο σας που πρόκειται να σταλεί, θα ελέγξει τους κανόνες της εξόδου και θα φιλτράρει τα πακέτα που σας ανταποκρίνονται.) )
Κάθε κανόνας σε κάθε αλυσίδα έχει μια IP προορισμού, μια IP προέλευσης και μια εισερχόμενη διεπαφή (στη διεπαφή), η οποία είναι πολύ ευέλικτη για τη θέσπιση κανόνων. Για παράδειγμα, στη μέθοδο "[Share] ROS Prohibition PING Method", μπορείτε να αποτρέψετε τα ping εξωτερικού δικτύου από το routeros, απλώς επιλέξτε τη διεπαφή που είστε συνδεδεμένοι στο εξωτερικό δίκτυο στη διεπαφή in. Εάν απενεργοποιήσετε το εσωτερικό ping, μπορείτε να επιλέξετε να συνδεθείτε στο εσωτερικό σας δίκτυο. Εάν απαγορεύονται όλα τα ping, τότε η διεπαφή επιλέγει όλα. Φυσικά, για να απαγορεύσετε το ping, πρέπει να επιλέξετε icmp και η δράση θα πρέπει να επιλέξει απόρριψη ή απόρριψη.
Θα πρέπει επίσης να σημειωθεί ότι το πρωτόκολλο ICMP δεν αναφέρεται στο ping, αλλά το ping είναι ένα από τα πρωτόκολλα ICMP (ο τύπος του πρωτοκόλλου ICMP είναι 8 και ο κωδικός είναι 0, γραμμένος ως icmp-options=8:0 στο routeros; Και απαντάμε σε ping (ο κωδικός τύπου ICMP 0 είναι 0), και πολλά άλλα πράγματα ανήκουν επίσης στο πρωτόκολλο ICMP. Για παράδειγμα, εάν απαγορεύσετε στο εσωτερικό δίκτυο να κάνει ping σε όλα τα εξωτερικά δίκτυα, μπορείτε να δημιουργήσετε έναν κανόνα στην αλυσίδα προώθησης, το πρωτόκολλο είναι ICMP, η ενέργεια είναι drop και οι άλλες προεπιλογές, τότε το εσωτερικό σας δίκτυο δεν κάνει ping σε εξωτερικές διευθύνσεις και εάν χρησιμοποιήσετε την εντολή trancroute για να παρακολουθήσετε τη διαδρομή, δεν θα μπορεί να παρακολουθήσει τη διαδρομή. Ο κανόνας είναι να προσέχεις κάθε λεπτομέρεια.
Επίσης, οι τρεις αλυσίδες εισόδου, εξόδου και προώθησης επιτρέπουν όλα τα δεδομένα από προεπιλογή στο routeros. Δηλαδή, εκτός αν το απαγορεύσετε ρητά στους κανόνες, επιτρέπεται. Μπορείτε να τροποποιήσετε την προεπιλεγμένη πολιτική ορίζοντας ip firewall input policy=drop κ.λπ.
Είναι γραμμένο πολύ μακροσκελές, ώστε οι αρχάριοι να το καταλαβαίνουν καλά. Καλώς ήρθατε στη συζήτηση!
|
Δημοσιεύτηκε στις 7/12/2015 5:50:26 μ.μ.
|
|
|
