Después de leer la publicación "[Compartir] método PING de Prohibición de ROS", siento que nadie tiene un buen entendimiento del firewall de routerOS y del protocolo básico TCP/IP. Aquí compartiré mis puntos de vista para que puedas debatir y aprender conmigo.
Una de las razones por las que me gusta RouterOS es que la función de cortafuegos de RouterOS es muy flexible. RouterOS Firewall es un firewall de filtrado de paquetes que permite definir una serie de reglas para filtrar paquetes enviados hacia, desde y reenviados a través de RouterOS. RouterOS Firewall define tres cadenas de firewall (filtrado) (es decir, entrada, reenvío, salida) dentro de las cuales puedes definir tus propias reglas. donde input se refiere a los datos enviados al propio RouterOS (es decir, la IP de destino es una dirección IP en la interfaz de RouterOS); salida significa los datos enviados desde RouterOS (es decir, la IP de origen del paquete es una dirección IP en la interfaz de RouterOS); Reenviar significa reenviar a través de routerOS (por ejemplo, si tu ordenador interno accede a una red externa, los datos deben ser redirigidos a través de tu routerOS).
Por ejemplo, en la publicación "[Sharing] ROS prohibition PING method", generalmente necesitamos añadir reglas a la cadena de entrada porque el paquete se envía a routeros, y la IP de destino del paquete es una dirección IP de interfaz de routeros.
(Por supuesto, si insistes en configurar una regla en la salida para filtrar la información ICMP, también puedes hacer ping, cuando el paquete que haces ping llegue a Routeos, RouteOS puede recibir el paquete y responder, y cuando el routerOS responde a tu paquete para enviarse, revisará las reglas de la salida y filtrará los paquetes que te respondan.) )
Cada regla en cada cadena tiene una IP objetivo, una IP de origen y una interfaz entrante (en la interfaz), que es muy flexible para establecer reglas. Por ejemplo, en el "[Share] ROS Prohibition PING Method", puedes evitar los pings de red externa de routeros, solo selecciona la interfaz a la que estás conectado en la red externa en la interfaz de entrada. Si desactivas el ping interno, puedes elegir conectarte a tu red interna. Si todos los pings están prohibidos, entonces la interfaz elige todos. Por supuesto, para prohibir el ping, tienes que elegir icmp, y la acción debe elegir descartar o rechazar.
También debe señalarse que el protocolo ICMP no se refiere al ping, pero ping es uno de los protocolos ICMP (el tipo de protocolo ICMP es 8 y el código es 0, escrito como icmp-options=8:0 en routeros; Y respondemos a pings (el código tipo 0 de ICMP es 0), y muchas otras cosas también pertenecen al protocolo ICMP. Por ejemplo, si prohíbes que la red interna haga ping a todas las redes externas, puedes establecer una regla en la cadena directa, el protocolo es ICMP, la acción es drop y la otra predeterminada, entonces tu red interna no detecta direcciones externas, y si usas el comando trancroute para rastrear la ruta, no podrá rastrear la ruta. La norma es prestar atención a cada detalle.
Además, las tres cadenas de entrada, salida y reenvío permiten todos los datos por defecto en routerOS. Es decir, a menos que lo prohíbas explícitamente en las normas, está permitido. Puedes modificar la política predeterminada configurando IP firewall input policy=drop, etc.
Está escrito de forma muy extensa, para que los principiantes puedan entenderla bien. ¡Bienvenido a la discusión!
|
Publicado en 7/12/2015 17:50:26
|
|
|
