"[공유] ROS 금지 PING 방법"이라는 글을 읽고 나니, 모두가 라우터OS 방화벽과 기본 TCP/IP 프로토콜에 대해 잘 이해하고 있지 않다는 느낌이 듭니다. 여기서 제 견해를 공유하여 여러분이 함께 토론하고 배우도록 하겠습니다.
제가 RouterOS를 좋아하는 이유 중 하나는 RouterOS 방화벽 기능이 매우 유연하기 때문입니다. RouterOS 방화벽은 RouterOS로 전송, 수신, 전달되는 패킷을 필터링하는 일련의 규칙을 정의할 수 있는 패킷 필터링 방화벽입니다. RouterOS 방화벽은 입력, 전달, 출력이라는 세 가지 방화벽(필터링) 체인을 정의하며, 이를 통해 자신만의 규칙을 정의할 수 있습니다. 여기서 입력은 RouterOS 자체로 전송된 데이터를 의미합니다(즉, 목적지 IP는 라우터OS 인터페이스의 IP 주소입니다); output은 RouterOS에서 전송된 데이터를 의미하며(즉, 패킷 소스 IP는 라우터OS 인터페이스의 IP 주소입니다); 포워딩은 라우터OS를 통해 전달하는 것을 의미합니다(예를 들어, 내부 컴퓨터가 외부 네트워크에 접속할 경우 데이터를 라우터OS를 통해 전달해야 합니다).
예를 들어, "[공유] ROS 금지 PING 방법" 게시물에서는 패킷이 라우터OS로 전송되고, 패킷의 목적지 IP가 라우터OS의 인터페이스 IP 주소이기 때문에 입력 체인에 규칙을 추가해야 합니다.
(물론, 출력에 ICMP 정보를 필터링하는 규칙을 설정해야 한다면, 핑도 할 수 있습니다. 당신이 핑한 패킷이 Routeos에 도착하면 RouteOS가 패킷을 수신하고 응답하며, 라우터OS가 전송할 패킷에 응답하면 출력 규칙을 확인하고 응답하는 패킷을 필터링합니다.) )
각 체인의 각 규칙은 대상 IP, 소스 IP, 그리고 매우 유연한 입력 인터페이스(in interface)를 가지고 있으며, 이는 규칙을 설정하기에 매우 유연합니다. 예를 들어, "[공유] ROS 금지 핑 방법(Share) ROS 금지 핑 방법(Share)'에서는 라우터OS로부터 외부 네트워크 핑을 차단할 수 있습니다. 인터페이스에서 외부 네트워크에 연결된 인터페이스를 선택하기만 하면 됩니다. 내부 핑을 비활성화하면 내부 네트워크에 연결할 수 있습니다. 모든 핑이 금지되면 인터페이스가 모두 선택합니다. 물론 핑을 금지하려면 icmp를 선택해야 하고, 행동은 drop 또는 reject를 선택해야 합니다.
또한 ICMP 프로토콜은 핑을 의미하지 않지만, 핑은 ICMP 프로토콜 중 하나임을 유의해야 합니다(ICMP 프로토콜 유형은 8이고 코드는 0이며, 라우터에서는 icmp-options=8:0으로 표기됩니다; 그리고 우리는 핑에 응답합니다(ICMP 타입 0 코드는 0입니다), 그리고 많은 다른 것도 ICMP 프로토콜에 속합니다. 예를 들어, 내부 네트워크가 모든 외부 네트워크에 핑을 보내는 것을 금지하면, 순방향 체인에 규칙을 설정할 수 있습니다. 프로토콜은 ICMP, 동작은 드롭, 다른 기본 설정은 그렇습니다. 그러면 내부 네트워크는 외부 주소에 대해 핑을 보내지 않고, trancroute 명령어를 사용해 경로를 추적하면 경로를 추적할 수 없습니다. 규칙은 모든 세부 사항에 주의를 기울이는 것입니다.
또한, 입력, 출력, 전달의 세 가지 체인은 라우터OS에서 기본적으로 모든 데이터를 허용합니다. 즉, 규칙에서 명시적으로 금지하지 않는 한, 허용됩니다. ip firewall, input policy=drop 등으로 기본 정책을 수정할 수 있습니다.
초보자도 잘 이해할 수 있도록 매우 장황하게 작성되어 있습니다. 토론에 오신 것을 환영합니다!
|
게시됨 2015. 12. 7. 오후 5:50:26
|
|
|
