Izlasot ziņu "[Dalīties] ROS aizlieguma PING metode", es uzskatu, ka ikvienam nav labas izpratnes par routerOS ugunsmūri un pamata TCP / IP protokolu. Šeit es dalīšos savā viedoklī, lai jūs varētu apspriest un mācīties ar mani.
Viens no iemesliem, kāpēc man patīk RouterOS, ir tas, ka RouterOS ugunsmūra funkcija ir ļoti elastīga. RouterOS ugunsmūris ir pakešu filtrēšanas ugunsmūris, kas ļauj definēt virkni noteikumu, lai filtrētu paketes, kas nosūtītas uz, no un pārsūtītas caur RouterOS. RouterOS ugunsmūris definē trīs ugunsmūra (filtrēšanas) ķēdes (t.i., ievade, pārsūtīšana, izeja), kurās jūs varat definēt savus noteikumus. kur ievade attiecas uz datiem, kas nosūtīti uz pašu RouterOS (tas ir, galamērķa IP ir IP adrese routerOS saskarnē); izeja nozīmē datus, kas nosūtīti no RouterOS (tas ir, paketes avota IP ir IP adrese routerOS saskarnē); Uz priekšu nozīmē pārsūtīšanu caur routerOS (piemēram, ja jūsu iekšējais dators piekļūst ārējam tīklam, dati ir jāpārsūta caur jūsu routerOS).
Piemēram, ziņā "[Koplietošana] ROS aizlieguma PING metode" mums parasti ir jāpievieno noteikumi ievades ķēdei, jo pakete tiek nosūtīta uz routeros, un paketes galamērķa IP ir maršrutētāju interfeisa IP adrese.
(Protams, ja jūs uzstājat uz noteikumu iestatīšanu izvadē, lai filtrētu ICMP informāciju, jūs varat arī darīt ping, kad pakete, kuru jūs ping, sasniedz Routeos, RouteOS var saņemt paketi un atbildēt, un, kad routeros atbild uz jūsu nosūtāmo paketi, tas pārbaudīs izvades noteikumus un filtrēs paketes, kas atbild uz jums.) )
Katram noteikumam katrā ķēdē ir mērķa IP, avota IP un ienākošais interfeiss (saskarnē), kas ir ļoti elastīgs, lai izveidotu noteikumus. Piemēram, sadaļā "[Share] ROS Prohibition PING Method" varat novērst ārējā tīkla pingus no routeros, vienkārši saskarnē atlasiet interfeisu, kas ir savienots ar ārējo tīklu. Ja atspējojat iekšējo ping, varat izvēlēties izveidot savienojumu ar iekšējo tīklu. Ja visi pingi ir aizliegti, tad interfeiss izvēlas visus. Protams, lai aizliegtu ping, jums jāizvēlas icmp, un darbībai jāizvēlas nomest vai noraidīt.
Jāatzīmē arī tas, ka ICMP protokols neattiecas uz ping, bet ping ir viens no ICMP protokoliem (ICMP protokola veids ir 8 un kods ir 0, kas routeros rakstīts kā icmp-options=8:0; Un mēs reaģējam uz pingiem (ICMP tipa 0 kods ir 0), un daudzas citas lietas arī pieder ICMP protokolam. Piemēram, ja jūs aizliedzat iekšējam tīklam pingēt visus ārējos tīklus, jūs varat izveidot noteikumu pārsūtīšanas ķēdē, protokols ir ICMP, darbība ir nomešana un citi noklusējumi, tad jūsu iekšējais tīkls nesaņem ārējās adreses, un, ja maršruta izsekošanai izmantojat komandu trancroute, tas nevarēs izsekot maršrutu. Noteikums ir pievērst uzmanību katrai detaļai.
Arī trīs ievades, izvades un pārsūtīšanas ķēdes ļauj visus datus pēc noklusējuma maršrutētājos. Tas ir, ja vien jūs to skaidri neaizliedzat noteikumos, tas ir atļauts. Jūs varat modificēt noklusējuma politiku, iestatot ip ugunsmūra ievades politiku = drop utt.
Tas ir rakstīts ļoti ilgstoši, lai iesācēji to varētu labi saprast. Laipni lūdzam diskusijā!
|
Publicēts 07.12.2015 17:50:26
|
|
|
