Après avoir lu le post « [Partager] méthode PING de l’interdiction ROS », j’ai l’impression que tout le monde ne comprend pas bien le pare-feu RouterOS et le protocole TCP/IP de base. Ici, je vais partager mes points de vue afin que vous puissiez en discuter et apprendre avec moi.
Une des raisons pour lesquelles j’aime RouterOS, c’est que la fonction de pare-feu de RouterOS est très flexible. Le pare-feu RouterOS est un pare-feu de filtrage des paquets qui vous permet de définir une série de règles pour filtrer les paquets envoyés vers, depuis et transférés via RouterOS. RouterOS Firewall définit trois chaînes de pare-feu (filtrage) (c’est-à-dire entrée, transmission, sortie) dans lesquelles vous pouvez définir vos propres règles. où l’entrée fait référence aux données envoyées directement à RouterOS (c’est-à-dire que l’adresse IP de destination est une adresse IP dans l’interface de RouterOS) ; output signifie les données envoyées depuis RouterOS (c’est-à-dire que l’IP source du paquet est une adresse IP dans l’interface RouterOS) ; Transférer signifie rediriger via routerOS (par exemple, si votre ordinateur interne accède à un réseau externe, les données doivent être transmises via votre routerOS).
Par exemple, dans le post « [Partage] méthode PING d’interdiction ROS », nous devons généralement ajouter des règles à la chaîne d’entrée car le paquet est envoyé aux routeros, et l’adresse IP de destination du paquet est une adresse IP d’interface des routeurs.
(Bien sûr, si vous insistez pour configurer une règle dans la sortie pour filtrer les informations ICMP, vous pouvez aussi faire du ping : lorsque le paquet que vous envoyez atteint Routeos, RouteOS peut recevoir le paquet et répondre, et lorsque le routerOS répond à votre paquet à envoyer, il vérifiera les règles de sortie et filtrera les paquets qui vous répondent.) )
Chaque règle de chaque chaîne possède une IP cible, une IP source et une interface entrante (en interface), très flexible pour établir des règles. Par exemple, dans la « [Share] ROS Prohibition PING Method », vous pouvez empêcher les pings réseau externes des routeros, il suffit de sélectionner l’interface à laquelle vous êtes connecté dans l’interface in. Si vous désactivez le ping interne, vous pouvez choisir de vous connecter à votre réseau interne. Si tous les pings sont interdits, alors l’interface choisit tout. Bien sûr, pour interdire le ping, il faut choisir ICMP, et l’action doit choisir abandonner ou rejeter.
Il convient également de noter que le protocole ICMP ne fait pas référence au ping, mais ping est l’un des protocoles ICMP (le type de protocole ICMP est 8 et le code est 0, écrit icmp-options=8:0 dans les routeros ; Et nous répondons aux pings (le code ICMP type 0 est 0), et beaucoup d’autres éléments appartiennent aussi au protocole ICMP. Par exemple, si vous interdisez au réseau interne d’envoyer des pings à tous les réseaux externes, vous pouvez établir une règle dans la chaîne directe, le protocole est ICMP, l’action est coupée, et l’autre par défaut, alors votre réseau interne ne pinge aucune adresse externe, et si vous utilisez la commande trancroute pour suivre la route, il ne pourra pas la suivre. La règle est de prêter attention à chaque détail.
De plus, les trois chaînes d’entrée, de sortie et de transfert permettent par défaut de toutes les données dans les routeurs. C’est-à-dire que, sauf si vous l’interdisez explicitement dans les règles, c’est autorisé. Vous pouvez modifier la politique par défaut en définissant IP firewall input policy=drop, etc.
C’est écrit très longuement, pour que les débutants puissent bien le comprendre. Bienvenue dans la discussion !
|
Publié sur 07/12/2015 17:50:26
|
|
|
