Setelah membaca posting "[Bagikan] Metode PING Larangan ROS", saya merasa bahwa semua orang tidak memiliki pemahaman yang baik tentang firewall routerOS dan protokol TCP/IP dasar. Di sini saya akan membagikan pandangan saya sehingga Anda dapat berdiskusi dan belajar dengan saya.
Salah satu alasan saya menyukai RouterOS adalah karena fitur firewall RouterOS sangat fleksibel. RouterOS Firewall adalah firewall pemfilteran paket yang memungkinkan Anda menentukan serangkaian aturan untuk memfilter paket yang dikirim ke, dari, dan diteruskan melalui RouterOS. RouterOS Firewall mendefinisikan tiga rantai firewall (pemfilteran) (yaitu input, forward, output) di mana Anda dapat menentukan aturan Anda sendiri. di mana input mengacu pada data yang dikirim ke RouterOS itu sendiri (yaitu, IP tujuan adalah alamat IP di antarmuka routerOS); output berarti data yang dikirim dari RouterOS (yaitu, IP sumber paket adalah alamat IP di antarmuka routerOS); Meneruskan berarti meneruskan melalui routerOS (misalnya, jika komputer internal Anda mengakses jaringan eksternal, data perlu diteruskan melalui routerOS Anda).
Misalnya, dalam posting "[Berbagi] metode PING larangan ROS", kita umumnya perlu menambahkan aturan ke rantai input karena paket dikirim ke routeros, dan IP tujuan paket adalah alamat IP antarmuka routeros.
(Tentu saja, jika Anda bersikeras menyiapkan aturan dalam output untuk menyaring informasi ICMP, Anda juga dapat melakukan ping, ketika paket yang Anda ping mencapai Routeos, RouteOS dapat menerima paket dan merespons, dan ketika routerOS merespons paket Anda yang akan dikirim, ia akan memeriksa aturan output dan menyaring paket yang merespons Anda.) )
Setiap aturan di setiap rantai memiliki IP target, IP sumber, dan antarmuka masuk (antarmuka), yang sangat fleksibel untuk menetapkan aturan. Misalnya, dalam "[Bagikan] Metode PING Larangan ROS", Anda dapat mencegah ping jaringan eksternal dari routero, cukup pilih antarmuka yang Anda sambungkan ke jaringan eksternal di antarmuka in. Jika Anda menonaktifkan ping internal, Anda dapat memilih untuk terhubung ke jaringan internal Anda. Jika semua ping dilarang, maka antarmuka memilih semua. Tentu saja, untuk melarang ping, Anda harus memilih icmp, dan tindakan harus memilih drop atau reject.
Perlu juga dicatat bahwa protokol ICMP tidak mengacu pada ping, tetapi ping adalah salah satu protokol ICMP (jenis protokol ICMP adalah 8 dan kodenya adalah 0, ditulis sebagai icmp-options=8:0 di routeros; Dan kami menanggapi ping (kode ICMP tipe 0 adalah 0), dan banyak hal lain juga termasuk dalam protokol ICMP. Misalnya, jika Anda melarang jaringan internal melakukan ping ke semua jaringan eksternal, Anda dapat membuat aturan dalam rantai maju, protokolnya adalah ICMP, tindakannya adalah drop, dan default lainnya, maka jaringan internal Anda tidak melakukan ping ke alamat eksternal, dan jika Anda menggunakan perintah trancroute untuk melacak rute, itu tidak akan dapat melacak rute. Aturannya adalah memperhatikan setiap detail.
Selain itu, tiga rantai input, output, dan forward memungkinkan semua data secara default di routeros. Artinya, kecuali Anda secara eksplisit melarangnya dalam aturan, itu diperbolehkan. Anda dapat memodifikasi kebijakan default dengan mengatur ip firewall input policy=drop, dll.
Itu ditulis dengan sangat bertele-tele, sehingga pemula dapat memahaminya dengan baik. Selamat datang di diskusi!
|
Diposting pada 07/12/2015 17.50.26
|
|
|
