Miután elolvastam a "[Megosztás] ROS Tiltás PING Method" című bejegyzést, úgy érzem, hogy senki nem érti jól a routerOS tűzfalat és az alapvető TCP/IP protokollt. Itt megosztom a véleményeimet, hogy velem beszélhessek és tanulhassátok.
Az egyik oka annak, hogy szeretem a RouterOS-t, hogy a RouterOS tűzfal funkciója nagyon rugalmas. A RouterOS Tűzfal egy csomagszűrő tűzfal, amely lehetővé teszi, hogy szabályokat határozz meg, hogy kiszűrjük a RouterOS-en keresztül küldött, onnan érkező és továbbított csomagokat. A RouterOS tűzfal három tűzfal-láncot (szűrés) határoz meg (azaz bemenet, továbbítás, kimenet), amelyeken belül saját szabályokat határozhatsz meg. ahol a input a RouterOS-nek küldött adatokat jelenti (azaz a cél IP-cím a routerOS interfészben található IP-cím); a kimenet azt jelenti, hogy a RouterOS-ből küldött adat (azaz a csomagforrás IP-cím a routerOS interfészben); Az előrehaladás azt jelenti, hogy routerOS-on keresztül továbbítják az adatokat (például, ha a belső számítógéped külső hálózatot használ, az adatokat a routerOS-en keresztül kell továbbítani).
Például a "[Sharing] ROS tiltó PING módszer" bejegyzésben általában szabályokat kell hozzáadni a bemeneti lánchoz, mert a csomagot routeros-hoz küldik, és a csomag célpontja a routeros interfész IP-címe.
(Természetesen, ha ragaszkodsz ahhoz, hogy a kimenetben legyen egy szabály az ICMP információk kiszűrésére, akkor is megteheted a pinget, amikor a pingelt csomag eléri a Routeost, a RouteOS fogadhatja a csomagot és válaszolhat, és amikor a routerOS válaszol a küldendő csomagra, ellenőrzi a kimenet szabályait és kiszűri a válaszadó csomagokat.) )
Minden láncban minden szabálynak van célpontja IP-, forrás IP-je és egy bejövő interfésze (interfészben), amely nagyon rugalmas a szabályok kialakításához. Például a "[Megosztás] ROS Tiltó PING Módszer" esetén megakadályozhatod a routeros külső hálózati pingeléseket, csak válaszd ki azt az interfészt, amelyhez csatlakoztál a külső hálózathoz az interfészen belül. Ha kitiltod a belső pinget, választhatod, hogy csatlakozol a belső hálózathoz. Ha minden pinget tiltottak, akkor az interfész mindent kiválaszt. Természetesen a ping tiltásához az icmp-t kell választani, és a cselekvésnek a drop vagy a red opciót kell választania.
Fontos megjegyezni, hogy az ICMP protokoll nem a pinget jelöli, hanem a ping az ICMP protokollok egyike (az ICMP protokoll típusa 8, a kód 0, routeros-ban icmp-options=8:0 formátumban írva; És mi a pingekre reagálunk (az ICMP 0-s típusú kód 0), és sok más dolog is az ICMP protokollhoz tartozik. Például, ha megtiltod a belső hálózatnak az összes külső hálózat pingelését, akkor beállíthatsz egy szabályt az előrehaladó láncban, a protokoll ICMP, az akció a drop, a többi alapértelmezett beállítás, akkor a belső hálózat nem pingel, és ha a trancroute parancsot használod az útvonal követéséhez, az nem tudja követni az útvonalat. A szabály, hogy minden részletre figyelj.
Továbbá a három bemeneti, kimeneti és továbbítási lánc alapértelmezettben engedélyezi az összes adatot routeros-ban. Vagyis, hacsak nem tiltod kifejezetten a szabályokban, akkor engedélyezett. Az alapértelmezett szabályzatot módosíthatod ip firewall input policy=drop stb. beállításával.
Nagyon hosszan van írva, hogy a kezdők jól megértsék. Üdvözlünk a beszélgetésben!
|
Közzétéve 2015. 12. 07. 17:50:26
|
|
|
