Perskaičiusi įrašą "[Dalintis] ROS draudimo PING metodas", manau, kad ne visi gerai supranta routerOS ugniasienę ir pagrindinį TCP/IP protokolą. Čia pasidalinsiu savo nuomone, kad galėtumėte su manimi diskutuoti ir mokytis.
Viena iš priežasčių, kodėl man patinka "RouterOS", yra ta, kad "RouterOS" ugniasienės funkcija yra labai lanksti. "RouterOS" ugniasienė yra paketų filtravimo ugniasienė, leidžianti apibrėžti taisykles, skirtas filtruoti paketus, siunčiamus į, iš ir persiųstus per "RouterOS". RouterOS ugniasienė apibrėžia tris ugniasienės (filtravimo) grandines (ty įvestis, persiuntimas, išvestis), kuriose galite apibrėžti savo taisykles. kur įvestis reiškia duomenis, siunčiamus į pačią RouterOS (tai yra, paskirties IP yra IP adresas routerOS sąsajoje); išvestis reiškia duomenis, siunčiamus iš RouterOS (tai yra, paketo šaltinio IP yra IP adresas routerOS sąsajoje); Persiųsti reiškia persiuntimą per routerOS (pavyzdžiui, jei jūsų vidinis kompiuteris prisijungia prie išorinio tinklo, duomenis reikia persiųsti per routerOS).
Pavyzdžiui, įraše "[Bendrinimas] ROS draudimo PING metodas" paprastai turime pridėti taisykles prie įvesties grandinės, nes paketas siunčiamas į routeros, o paketo paskirties IP yra maršrutizatoriaus sąsajos IP adresas.
(Žinoma, jei primygtinai reikalaujate išvesties nustatyti taisyklę, kad išfiltruotumėte ICMP informaciją, taip pat galite daryti ping, kai jūsų pinguojamas paketas pasiekia Routeos, RouteOS gali gauti paketą ir atsakyti, o kai routeros atsako į jūsų siunčiamą paketą, jis patikrins išvesties taisykles ir filtruos paketus, kurie jums atsako.) )
Kiekviena kiekvienos grandinės taisyklė turi tikslinį IP, šaltinio IP ir gaunamą sąsają (sąsajoje), kuri yra labai lanksti nustatant taisykles. Pavyzdžiui, "[Share] ROS Prohibition PING Method" galite užkirsti kelią išorinio tinklo pingams iš routeros, tiesiog pasirinkite sąsają, kurią esate prijungti prie išorinio tinklo sąsajoje. Jei išjungsite vidinį pingą, galėsite pasirinkti prisijungti prie vidinio tinklo. Jei visi pingai yra draudžiami, tada sąsaja pasirenka visus. Žinoma, norint uždrausti pingą, reikia pasirinkti icmp, o veiksmas turėtų pasirinkti numesti arba atmesti.
Taip pat reikėtų pažymėti, kad ICMP protokolas nereiškia ping, tačiau ping yra vienas iš ICMP protokolų (ICMP protokolo tipas yra 8, o kodas yra 0, parašytas kaip icmp-options=8:0 routeros; Ir mes reaguojame į pingus (ICMP tipo 0 kodas yra 0), ir daugelis kitų dalykų taip pat priklauso ICMP protokolui. Pavyzdžiui, jei uždraudžiate vidiniam tinklui pinguoti visus išorinius tinklus, galite nustatyti taisyklę persiuntimo grandinėje, protokolas yra ICMP, veiksmas yra išmetimas ir kiti numatytieji nustatymai, tada jūsų vidinis tinklas nesiunčia išorinių adresų, o jei maršrutui sekti naudosite komandą trancroute, jis negalės sekti maršruto. Taisyklė yra atkreipti dėmesį į kiekvieną detalę.
Be to, trys įvesties, išvesties ir persiuntimo grandinės leidžia visus duomenis pagal numatytuosius nustatymus routeros. Tai yra, jei to aiškiai nedraudžiate taisyklėse, tai leidžiama. Galite keisti numatytąją politiką nustatydami ip ugniasienės įvesties policy=drop ir kt.
Jis parašytas labai ilgai, kad pradedantieji galėtų jį gerai suprasti. Sveiki atvykę į diskusiją!
|
Paskelbta 2015-12-07 17:50:26
|
|
|
