入力、出力、転送、禁止pingの理解

管理者 · 掲載地 2015/12/07 17:50:26

「[共有] ROS禁止PINGメソッド」という投稿を読んで、誰もがルーターOSのファイアウォールや基本的なTCP/IPプロトコルについて十分に理解していないと感じました。ここでは私の考えを共有し、皆さんと議論し学んでもらえますように。
私がRouterOSを気に入っている理由の一つは、RouterOSのファイアウォール機能が非常に柔軟だからです。 RouterOSファイアウォールはパケットフィルタリングファイアウォールで、RouterOSに送受信されるパケットをフィルタリングする一連のルールを定義できます。 RouterOSファイアウォールは、入力、転送、出力の3つのファイアウォール(フィルタリング)チェーンを定義しており、その中で自分でルールを定義できます。ここで入力はRouterOS自体に送信されるデータを指し(すなわち、宛先IPはルーターOSインターフェース内のIPアドレス)、 outputとはRouterOSから送信されるデータ(すなわちパケットソースIPはルーターOSインターフェース内のIPアドレス)を意味します。転送とはルーターOS経由で転送することを意味します(例えば、内部のコンピュータが外部ネットワークにアクセスする場合、データはルーターOS経由で転送する必要があります)。
  例えば、「[共有] ROS禁止PIGメソッド」の投稿では、パケットがルーターOSに送信されるため、パケットの宛先IPがルーターOSのインターフェースIPアドレスであるため、入力チェーンにルールを追加する必要があります。
  (もちろん、もし出力にICMP情報をフィルタリングするルールを設定したい場合は、pingも可能です。pingしたパケットがRouteosに届くとRouteOSがパケットを受け取り応答し、ルーターOSが送信するパケットに応答すると、出力のルールをチェックして応答したパケットをフィルタリングします。) ）
  各チェーンのルールにはターゲットIP、送信元IP、そして非常に柔軟なルール設定可能なインカミングインターフェース(インインターフェース)があります。例えば、「[Share] ROS Prohibition PING Method」では、ルーターOSからの外部ネットワークのpingを防ぐことができます。インターフェースで外部ネットワークに接続されているインターフェースを選択するだけです。内部pingを無効にすると、内部ネットワークに接続を選択できます。すべてのpingが禁止されている場合、インターフェースがすべてを選択します。もちろん、pingを禁止するにはicmpを選択し、アクションはドロップか拒否を選ぶべきです。
  また、ICMPプロトコルはpingを指していませんが、pingはICMPプロトコルの一つであることにも注意が必要です(ICMPプロトコルの種類は8でコードは0で、ルーターOSではicmp-options=8:0と表記されます)。また、ピン(ICMPタイプ0コードは0)にも応答し、他にも多くの機能がICMPプロトコルに属しています。例えば、内部ネットワークがすべての外部ネットワークにpingを送るのを禁止した場合、フォワードチェーンにルールを設定し、プロトコルはICMP、アクションはドロップ、その他のデフォルトを設定できます。そうすると内部ネットワークは外部アドレスにpingを送りません。trancrouteコマンドでルートを追跡しても追跡できません。ルールは細部に注意を払うことです。
  また、入出力・転送の3つのチェーンはルーターOSでデフォルトですべてのデータを許容しています。つまり、ルールで明確に禁止しない限り、許可されています。デフォルトのポリシーは、ip firewall input policy=dropなどを設定することで変更できます。
  初心者にもよく理解できるよう、非常に長文で書かれています。議論へようこそ!

[Linux] 入力、出力、転送、禁止pingの理解

関連記事

閲覧したセクション