Na het lezen van het bericht "[Share] ROS Prohibition PING Method" heb ik het gevoel dat niet iedereen een goed begrip heeft van routerOS-firewall en het basis TCP/IP-protocol. Hier zal ik mijn mening delen zodat je met mij kunt discussiëren en leren.
Een reden waarom ik RouterOS fijn vind, is dat de firewallfunctie van RouterOS erg flexibel is. RouterOS Firewall is een packet filtering firewall waarmee je een reeks regels kunt definiëren om pakketten die naar, van en via RouterOS worden verzonden, worden verzonden en doorgestuurd, eruit te filteren. RouterOS Firewall definieert drie firewall- (filter-)ketens (d.w.z. input, forward, output) waarin je je eigen regels kunt definiëren. waarbij input verwijst naar de gegevens die naar RouterOS zelf worden gestuurd (dat wil zeggen, het bestemmings-IP is een IP-adres in de routerOS-interface); output betekent de gegevens die vanuit RouterOS worden verzonden (dat wil zeggen, het bron-IP van het pakket is een IP-adres in de routerOS-interface); Doorsturen betekent doorsturen via routerOS (bijvoorbeeld, als je interne computer toegang heeft tot een extern netwerk, moet data via je routerOS worden doorgestuurd).
Bijvoorbeeld, in het bericht "[Delen] ROS-prohibition PING-methode" moeten we doorgaans regels toevoegen aan de invoerketen omdat het pakket naar routero's wordt gestuurd, en het bestemmings-IP van het pakket een interface-IP-adres van routero's is.
(Natuurlijk, als je erop staat een regel in de uitvoer op te stellen om ICMP-informatie eruit te filteren, kun je ook ping doen; wanneer het pakket dat je pingt Routeos bereikt, kan RouteOS het pakket ontvangen en reageren, en wanneer het routerOS reageert op jouw pakket, controleert het de regels van de output en filtert het de pakketten die op jou reageren.) )
Elke regel in elke keten heeft een doel-IP, een bron-IP en een binnenkomende interface (in-interface), die zeer flexibel is om regels vast te stellen. Bijvoorbeeld, in de "[Share] ROS Prohibition PING Method" kun je externe netwerkpings van routero's voorkomen, selecteer gewoon de interface waarmee je verbonden bent in het interne netwerk. Als je interne ping uitschakelt, kun je ervoor kiezen om verbinding te maken met je interne netwerk. Als alle pings verboden zijn, kiest de interface alle. Natuurlijk moet je om ping te verbieden icmp kiezen, en actie moet kiezen voor drop of reject.
Het moet ook worden opgemerkt dat het ICMP-protocol niet verwijst naar ping, maar ping is een van de ICMP-protocollen (het type ICMP-protocol is 8 en de code is 0, geschreven als icmp-options=8:0 in routerOS; En we reageren op pings (ICMP type 0 code is 0), en veel andere zaken behoren ook tot het ICMP-protocol. Als je bijvoorbeeld verbiedt dat het interne netwerk alle externe netwerken pingt, kun je een regel in de forward chain opstellen, het protocol is ICMP, de actie is drop, en de andere standaardinstellingen, dan pingt je interne netwerk geen externe adressen, en als je het trancroute-commando gebruikt om de route te volgen, kan het de route niet volgen. De regel is om op elk detail te letten.
Ook staan de drie ketens van input, output en forward standaard alle data toe in routerOS. Tenzij je het expliciet verbiedt in de regels, is het toegestaan. Je kunt het standaardbeleid aanpassen door ip firewall input policy=drop, enzovoort, in te stellen.
Het is zeer langdradig geschreven, zodat beginners het goed kunnen begrijpen. Welkom bij de discussie!
|
Geplaatst op 07-12-2015 17:50:26
|
|
|
