Luettuani viestin "[Jaa] ROS Prohibition PING Method" koen, että kaikilla ei ole hyvää ymmärrystä routerOS:n palomuurista ja perus TCP/IP-protokollasta. Tässä jaan näkemykseni, jotta voitte keskustella ja oppia kanssani.
Yksi syy, miksi pidän RouterOS:sta, on se, että RouterOS:n palomuuriominaisuus on hyvin joustava. RouterOS Firewall on pakettisuodatuspalomuuri, jonka avulla voit määritellä joukon sääntöjä suodattamaan paketteja, jotka lähetetään RouterOS:lle, lähettävät ja välitetään RouterOS:n kautta. RouterOS-palomuuri määrittelee kolme palomuuriketjua (eli syöte, eteenpäin, ulostulo), joiden sisällä voit määritellä omat sääntösi. missä syöte viittaa RouterOS:lle lähetettyyn dataan (eli kohde-IP on IP-osoite routerOS-liitännässä); output tarkoittaa RouterOS:sta lähetettyä dataa (eli paketin lähde-IP on IP-osoite routerOS-liitännässä); Välitys tarkoittaa reititystä routerOS:n kautta (esimerkiksi, jos sisäinen tietokoneesi käyttää ulkoista verkkoa, data täytyy ohjata routerOS:n kautta).
Esimerkiksi "[Sharing] ROS prohibition PING -menetelmä" -postauksessa meidän täytyy yleensä lisätä sääntöjä syöttöketjuun, koska paketti lähetetään reitittimille ja paketin kohde-IP on reitittimien rajapinnan IP-osoite.
(Tietenkin, jos haluat asettaa lähtöön säännön ICMP-tietojen suodattamiseksi, voit myös pingata, kun pingattava paketti saavuttaa Routeosin, RouteOS voi vastaanottaa paketin ja vastata, ja kun reititin vastaa lähetettävään pakettiisi, se tarkistaa ulostulon säännöt ja suodattaa paketit, jotka vastaavat sinulle.) )
Jokaisella ketjun säännöllä on kohde-IP, lähde-IP ja saapuva rajapinta (rajapinnassa), joka on hyvin joustava sääntöjen luomiseen. Esimerkiksi "[Jaa] ROS Prohibition PING -menetelmässä" voit estää ulkoisen verkon pingit reitittimistä, valitsemalla vain liitännän, johon olet kytketty ulkoiseen verkkoon sisäisessä rajapinnassa. Jos poistat sisäisen pingin käytöstä, voit halutessasi yhdistää sisäiseen verkkoosi. Jos kaikki pingit ovat kiellettyjä, käyttöliittymä valitsee kaikki. Tietenkin pingin estämiseksi sinun täytyy valita icmp, ja toiminnon pitäisi valita pudota tai hylkäystä.
On myös huomattava, että ICMP-protokolla ei viittaa pingiin, mutta ping on yksi ICMP-protokollista (ICMP-protokollan tyyppi on 8 ja koodi 0, kirjoitettuna icmp-options=8:0 reitittimissä muodossa; Ja vastaamme pingeihin (ICMP-tyyppi 0 -koodi on 0), ja monet muut asiat kuuluvat myös ICMP-protokollaan. Esimerkiksi, jos estät sisäistä verkkoa pingaamasta kaikkia ulkoisia verkkoja, voit asettaa säännön eteenpäin ketjuun, protokolla on ICMP, toiminto on drop, ja muut oletukset, jolloin sisäinen verkkosi ei pingaa ulkoisia osoitteita, ja jos käytät trancroute-komentoa reitin seuraamiseen, se ei pysty seuraamaan reittiä. Sääntönä on kiinnittää huomiota jokaiseen yksityiskohtaan.
Lisäksi kolme ketjua: syöte-, lähtö- ja välitysketju sallivat kaiken datan oletuksena reitittimissä ovat. Eli ellei sitä nimenomaisesti kielletä säännöissä, se on sallittua. Voit muokata oletuskäytäntöä asettamalla ip firewall input policy=drop jne.
Se on kirjoitettu hyvin pitkäveteisesti, jotta aloittelijat ymmärtävät sen hyvin. Tervetuloa keskusteluun!
|
Julkaistu 7.12.2015 17.50.26
|
|
|
