Etter å ha lest innlegget "[Del] ROS Prohibition PING Method", føler jeg at alle ikke har god forståelse av RouterOS-brannmuren og grunnleggende TCP/IP-protokoll. Her vil jeg dele mine synspunkter slik at dere kan diskutere og lære med meg.
En grunn til at jeg liker RouterOS er at brannmurfunksjonen i RouterOS er veldig fleksibel. RouterOS Firewall er en pakkefiltreringsbrannmur som lar deg definere en serie regler for å filtrere ut pakker sendt til, fra og videresendt gjennom RouterOS. RouterOS Firewall definerer tre brannmur- (filtrerings-) kjeder (dvs. inngang, videresending, utgang) hvor du kan definere dine egne regler. hvor input refererer til dataene som sendes til RouterOS selv (det vil si at destinasjons-IP-en er en IP-adresse i routerOS-grensesnittet); output betyr dataene sendt fra RouterOS (det vil si at pakkens kilde-IP er en IP-adresse i routerOS-grensesnittet); Videresending betyr videresending gjennom routerOS (for eksempel, hvis din interne datamaskin får tilgang til et eksternt nettverk, må data videresendes gjennom routerOS-et ditt).
For eksempel, i innlegget «[Deling] ROS-forbudsmetoden PING», må vi vanligvis legge til regler i inngangskjeden fordi pakken sendes til routeros, og destinasjons-IP-en til pakken er en grensesnitt-IP-adresse til routeros.
(Selvfølgelig, hvis du insisterer på å sette opp en regel i utgangen for å filtrere ut ICMP-informasjon, kan du også gjøre ping; når pakken du sender når Routeos, kan RouteOS motta pakken og svare, og når routerOS svarer på pakken som skal sendes, vil den sjekke reglene for utgangen og filtrere ut pakkene som svarer til deg.) )
Hver regel i hver kjede har en mål-IP, en kilde-IP og et innkommende grensesnitt (i grensesnittet), som er svært fleksibelt for å etablere regler. For eksempel, i "[Share] ROS Prohibition PING Method", kan du forhindre eksterne nettverkspinger fra routerOS, bare velg grensesnittet du er koblet til i det eksterne nettverket i grensesnittet. Hvis du deaktiverer intern ping, kan du velge å koble til ditt interne nettverk. Hvis alle pings er forbudt, velger grensesnittet alle. Selvfølgelig, for å forby ping, må du velge icmp, og handling bør velge slipp eller avvis.
Det bør også bemerkes at ICMP-protokollen ikke refererer til ping, men ping er en av ICMP-protokollene (typen ICMP-protokoll er 8 og koden er 0, skrevet som icmp-options=8:0 i routeros; Og vi svarer på pings (ICMP type 0-kode er 0), og mange andre ting tilhører også ICMP-protokollen. For eksempel, hvis du forbyr det interne nettverket å pinge alle eksterne nettverk, kan du etablere en regel i forward chain, protokollen er ICMP, handlingen droppes, og de andre er standard, så sender det interne nettverket ingen eksterne adresser, og hvis du bruker trancroute-kommandoen for å spore ruten, vil det ikke kunne spore ruten. Regelen er å være oppmerksom på hver eneste detalj.
I tillegg tillater de tre kjedene input, output og forward all data som standard i routerOS. Det vil si, med mindre du eksplisitt forbyr det i reglene, er det tillatt. Du kan endre standardpolicyen ved å sette ip firewall input policy=drop, osv.
Den er skrevet veldig langt, slik at nybegynnere kan forstå den godt. Velkommen til diskusjonen!
|
Publisert på 07.12.2015 17:50:26
|
|
|
