Pärast postituse "[Jaga] ROS keelustamise PING meetod" lugemist tunnen, et kõigil pole head arusaama routerOS tulemüürist ja põhilisest TCP/IP protokollist. Siin jagan oma vaateid, et saaksite minuga arutada ja õppida.
Üks põhjus, miks mulle RouterOS meeldib, on see, et RouterOS-i tulemüüri funktsioon on väga paindlik. RouterOS tulemüür on pakettide filtreerimise tulemüür, mis võimaldab sul määratleda reegleid, et filtreerida välja pakette, mis saadetakse, sealt ja edastatakse RouterOS-i kaudu. RouterOS Firewall määratleb kolm tulemüüri (filtreerimis) ahelat (nt sisend, edasi, väljund), mille sees saad ise reegleid määratleda. kus sisend viitab andmetele, mis saadetakse otse RouterOS-ile (st siht-IP on routerOS liidese IP-aadress); väljund tähendab RouterOS-ist saadetud andmeid (st paketi lähte-IP on IP-aadress routerOS-i liideses); Edasi suunamine tähendab edastamist routerOS-i kaudu (näiteks kui sinu sisemine arvuti pääseb välisvõrku, tuleb andmed edastada läbi routerOS-i).
Näiteks postituses "[Sharing] ROS keelustamise PING meetod" tuleb tavaliselt lisada sisendahelasse reegleid, kuna pakett saadetakse routeros-ile ja paketi siht-IP on routerode liidese IP-aadress.
(Loomulikult, kui sa nõuad väljundis reegli seadistamist ICMP info filtreerimiseks, saad teha ka pingi, kui pingitud pakett jõuab Routeoseni, saab RouteOS paketi vastu võtta ja vastata, ning kui routerOS vastab sinu saadetavale paketile, kontrollib ta väljundi reegleid ja filtreerib välja paketid, mis sulle vastavad.) )
Igal reeglil igas ahelas on siht-IP, lähte-IP ja sissetuleva liides (liideses), mis on väga paindlik reeglite kehtestamiseks. Näiteks "[Jaga] ROS keelustamise PING meetodis" saad välisvõrgu pinge ruuteritelt ära hoida, lihtsalt vali liides, mille külge oled ühendatud välisvõrguga sisemises liideses. Kui sa keelad sisemise pingi, saad valida, kas ühendud oma sisevõrguga. Kui kõik pingid on keelatud, valib liides kõik. Muidugi, pingi keelamiseks pead valima icmp ja tegevus peaks valima kukutamise või tagasilükkamise.
Samuti tuleb märkida, et ICMP protokoll ei viita pingile, kuid ping on üks ICMP protokollidest (ICMP protokolli tüüp on 8 ja kood on 0, kirjutatud kui icmp-options=8:0 ruuterites; Ja me reageerime pingidele (ICMP tüüp 0 kood on 0), ja paljud muud asjad kuuluvad samuti ICMP protokolli. Näiteks, kui keelad sisevõrgul kõiki väliseid võrke pingida, saad luua reegli edasiliikumisahelas, protokoll on ICMP, tegevus on drop, teised vaikeseaded, siis sinu sisemine võrk ei pingi väliseid aadresse ning kui kasutad trancroute käsku marsruudi jälgimiseks, ei suuda see marsruuti jälgida. Reegel on pöörata tähelepanu igale detailile.
Samuti lubavad kolm sisend-, väljund- ja edasisaatmisahelat vaikimisi kogu andmestikku ruuterites. See tähendab, et kui sa seda reeglites selgesõnaliselt ei keela, on see lubatud. Vaikimisi poliitikat saab muuta, seades ip tulemüüri sisendi policy=drop jne.
See on kirjutatud väga pikalt, et algajad saaksid sellest hästi aru. Tere tulemast arutelusse!
|
Postitatud 07.12.2015 17:50:26
|
|
|
