Dopo aver letto il post "[Condividi] Metodo PING del Proibizionismo ROS", ho la sensazione che nessuno abbia una buona comprensione del firewall di routerOS e del protocollo TCP/IP di base. Qui condividerò le mie opinioni affinché possiate discuterne e imparare con me.
Uno dei motivi per cui mi piace RouterOS è che la funzione firewall di RouterOS è molto flessibile. RouterOS Firewall è un firewall di filtraggio dei pacchetti che permette di definire una serie di regole per filtrare i pacchetti inviati da, da e inoltrati tramite RouterOS. RouterOS Firewall definisce tre catene di firewall (filtraggio) (cioè input, forward, output) all'interno delle quali puoi definire le tue regole. dove input si riferisce ai dati inviati direttamente a RouterOS (cioè, l'IP di destinazione è un indirizzo IP nell'interfaccia routerOS); output indica i dati inviati da RouterOS (cioè, l'IP sorgente del pacchetto è un indirizzo IP nell'interfaccia di RouterOS); Inoltrare significa inoltrare tramite routerOS (ad esempio, se il tuo computer interno accede a una rete esterna, i dati devono essere inoltrati tramite routerOS).
Ad esempio, nel post "[Condivisione] metodo PING di proibizione ROS", generalmente dobbiamo aggiungere regole alla catena di input perché il pacchetto viene inviato ai routeros, e l'IP di destinazione del pacchetto è un indirizzo IP di interfaccia dei routeros.
(Ovviamente, se insisti a impostare una regola nell'output per filtrare le informazioni ICMP, puoi anche fare ping: quando il pacchetto che invii raggiunge Routeos, RouteOS può ricevere il pacchetto e rispondere, e quando il routerOS risponde al tuo pacchetto da inviare, controllerà le regole dell'output e filtrerà i pacchetti che ti rispondono.) )
Ogni regola in ogni catena ha un IP target, un IP sorgente e un'interfaccia in ingresso (in interface), molto flessibile per stabilire regole. Ad esempio, nel "[Share] ROS Prohibition PING Method", puoi prevenire i ping di rete esterna dai routeros, basta selezionare l'interfaccia a cui sei collegato alla rete esterna nell'interfaccia in. Se disabiliti il ping interno, puoi scegliere di connetterti alla tua rete interna. Se tutti i ping sono vietati, allora l'interfaccia sceglie tutti. Ovviamente, per vietare il ping, devi scegliere ICMP, e l'azione dovrebbe scegliere drop o respinge.
Va anche notato che il protocollo ICMP non si riferisce al ping, ma ping è uno dei protocolli ICMP (il tipo di protocollo ICMP è 8 e il codice è 0, scritto come icmp-options=8:0 nei routeros; E rispondiamo ai ping (il codice ICMP tipo 0 è 0), e molte altre cose appartengono anche al protocollo ICMP. Ad esempio, se proibisci alla rete interna di inviare ping a tutte le reti esterne, puoi stabilire una regola nella forward chain, il protocollo è ICMP, l'azione è eliminata e l'altra è predefinita, allora la tua rete interna non invia alcun ping a indirizzi esterni, e se usi il comando trancroute per tracciare la route, non sarà in grado di tracciare la route. La regola è prestare attenzione a ogni dettaglio.
Inoltre, le tre catene di input, output e forward permettono di default tutti i dati nei router. Cioè, a meno che non lo vieti esplicitamente nelle regole, è permesso. Puoi modificare la policy predefinita impostando IP firewall input policy=drop, ecc.
È scritto molto prolisso, così che i principianti possano capirlo bene. Benvenuti nella discussione!
|
Pubblicato su 07/12/2015 17:50:26
|
|
|
