Po przeczytaniu wpisu "[Udostępnij] ROS Prohibition PING Method" mam wrażenie, że nie każdy dobrze rozumie firewall routerOS i podstawowy protokół TCP/IP. Tutaj podzielę się swoimi poglądami, abyście mogli ze mną dyskutować i się uczyć.
Jednym z powodów, dla których lubię RouterOS, jest bardzo elastyczna funkcja zapory RouterOS. Firewall RouterOS to zapora filtrująca pakiety, która pozwala zdefiniować szereg reguł filtrujących pakiety wysyłane do, z i przekazywane przez RouterOS. Firewall RouterOS definiuje trzy łańcuchy zapory (filtrujące) (tj. wejście, przekazywanie, wyjście), w ramach których możesz definiować własne reguły. gdzie input odnosi się do danych wysyłanych bezpośrednio do RouterOS (czyli adres IP docelowy to adres IP w interfejsie routerOS); output oznacza dane wysyłane z RouterOS (czyli adres IP źródłowy pakietu to adres IP w interfejsie routerOS); Forward oznacza przekazywanie przez routerOS (na przykład, jeśli twój wewnętrzny komputer korzysta z sieci zewnętrznej, dane muszą być przekazywane przez routerOS).
Na przykład w poście "[Sharing] ROS prohibition PING method" zazwyczaj musimy dodać reguły do łańcucha wejściowego, ponieważ pakiet jest wysyłany do routeros, a docelowym IP pakietu jest adresem IP interfejsu routeros.
(Oczywiście, jeśli nalegasz na ustawieniu reguły w wyjściu filtrującej informacje ICMP, możesz też użyć pingu – gdy pakiet, który pingujesz, trafi do Routeos, RouteOS może odebrać pakiet i odpowiedzieć, a gdy routeros odpowie na twój pakiet do wysłania, sprawdzi reguły wyjścia i odfiltruje pakiety, które do ciebie odpowiadają.) )
Każda reguła w każdym łańcuchu ma docelowy adres IP, adres źródłowy oraz interfejs przychodzący (w interfejsie), co jest bardzo elastyczne w ustalaniu reguł. Na przykład w "[Share] ROS Prohibition PING Method" możesz zapobiec pingom sieci zewnętrznej z routero, wystarczy wybrać interfejs, do którego jesteś podłączony w interfejsie wejściowym. Jeśli wyłączysz pingi wewnętrzne, możesz zdecydować się na połączenie z siecią wewnętrzną. Jeśli wszystkie pingi są zakazane, interfejs wybiera wszystkie. Oczywiście, aby zabronić pingu, musisz wybrać ICMP, a akcja powinna wybrać drop lub reject.
Należy również zauważyć, że protokół ICMP nie odnosi się do pingu, lecz ping jest jednym z protokołów ICMP (typ protokołu ICMP to 8, a kod 0, zapisany jako icmp-options=8:0 w routeros; Odpowiadamy też na pingi (kod ICMP typu 0 to 0), a wiele innych rzeczy również należy do protokołu ICMP. Na przykład, jeśli zabronisz sieci wewnętrznej pingować wszystkich zewnętrznych sieci, możesz ustanowić regułę w łańcuchu forward – protokół to ICMP, akcja to drop, a pozostałe domyślne, wtedy twoja wewnętrzna sieć nie pinguje żadnych zewnętrznych adresów, a jeśli użyjesz polecenia trancroute do śledzenia trasy, nie będzie ona mogła śledzić trasy. Zasada jest taka, by zwracać uwagę na każdy szczegół.
Ponadto trzy łańcuchy wejścia, wyjścia i przekazywania domyślnie pozwalają na wszystkie dane w routero. To znaczy, chyba że wyraźnie zabraniasz tego w zasadach, jest to dozwolone. Możesz zmodyfikować domyślną politykę, ustawiając IP: wejście zapory, polityka=drop itp.
Jest napisana bardzo rozwlekła, aby początkujący mogli ją dobrze zrozumieć. Witamy w dyskusji!
|
Opublikowano 07.12.2015 17:50:26
|
|
|
