Depois de ler o post "[Compartilhar] Método PING da Proibição ROS", sinto que ninguém tem um bom entendimento sobre firewall do routerOS e do protocolo TCP/IP básico. Aqui vou compartilhar minhas opiniões para que você possa discutir e aprender comigo.
Um dos motivos pelos quais gosto do RouterOS é que o recurso de firewall do RouterOS é muito flexível. O Firewall RouterOS é um firewall de filtragem de pacotes que permite definir uma série de regras para filtrar pacotes enviados para, de e encaminhados através do RouterOS. O Firewall do RouterOS define três cadeias de firewall (filtragem) (ou seja, entrada, encaminhamento, saída) dentro das quais você pode definir suas próprias regras. onde input se refere aos dados enviados ao próprio RouterOS (ou seja, o IP de destino é um endereço IP na interface do RouterOS); saída significa os dados enviados pelo RouterOS (ou seja, o IP de origem do pacote é um endereço IP na interface do RouterOS); Encaminhar significa encaminhar pelo RouterOS (por exemplo, se seu computador interno acessa uma rede externa, os dados precisam ser encaminhados pelo seu RouterOS).
Por exemplo, no post "[Compartilhamento] método PING de proibição de ROS", geralmente precisamos adicionar regras à cadeia de entrada porque o pacote é enviado para os routeros, e o IP de destino do pacote é um endereço IP de interface dos routeros.
(Claro, se você insistir em configurar uma regra na saída para filtrar informações ICMP, também pode fazer ping, quando o pacote que você pinga chegar ao Routeos, o RouteOS pode receber o pacote e responder, e quando o routerOS responder ao seu pacote a ser enviado, ele verificará as regras da saída e filtrará os pacotes que respondem a você.) )
Cada regra em cada cadeia possui um IP alvo, um IP de origem e uma interface de entrada (na interface), que é muito flexível para estabelecer regras. Por exemplo, no "[Share] ROS Prohibition PING Method", você pode evitar pings de rede externa dos routers, basta selecionar a interface à qual você está conectado na rede externa na interface in. Se você desativar o ping interno, pode escolher se conectar à sua rede interna. Se todos os pings forem proibidos, então a interface escolhe todos. Claro, para proibir o ping, você precisa escolher icmp, e a ação deve escolher descartar ou rejeitar.
Também deve ser notado que o protocolo ICMP não se refere a ping, mas ping é um dos protocolos ICMP (o tipo de protocolo ICMP é 8 e o código é 0, escrito como icmp-options=8:0 em routeros; E respondemos a pings (código tipo ICMP 0 é 0), e muitas outras coisas também pertencem ao protocolo ICMP. Por exemplo, se você proibir a rede interna de enviar ping a todas as redes externas, pode estabelecer uma regra na cadeia de direção, o protocolo é ICMP, a ação é drop, e os outros padrões são determinados, então sua rede interna não emite ping para endereços externos, e se você usar o comando trancroute para rastrear a rota, ela não conseguirá rastrear a rota. A regra é prestar atenção a cada detalhe.
Além disso, as três cadeias de entrada, saída e encaminhamento permitem todos os dados por padrão nos routers. Ou seja, a menos que você proíba explicitamente isso nas regras, é permitido. Você pode modificar a política padrão definindo IP firewall input policy=drop, etc.
É escrito de forma muito longa, para que iniciantes possam entendê-lo bem. Bem-vindo à discussão!
|
Publicado em 07/12/2015 17:50:26
|
|
|
