După ce am citit postarea "[Share] ROS Prohibition PING Method", simt că nu toată lumea are o înțelegere bună a firewall-ului routerOS și a protocolului de bază TCP/IP. Aici îmi voi împărtăși opiniile pentru ca voi să puteți discuta și învăța cu mine.
Unul dintre motivele pentru care îmi place RouterOS este că funcția firewall RouterOS este foarte flexibilă. RouterOS Firewall este un firewall de filtrare a pachetelor care îți permite să definești o serie de reguli pentru a filtra pachetele trimise către, de la și redirecționate prin RouterOS. RouterOS Firewall definește trei lanțuri de firewall (filtrare) (adică intrare, redirecționare, ieșire) în cadrul cărora poți defini propriile reguli. unde input se referă la datele trimise către RouterOS însuși (adică IP-ul destinației este o adresă IP în interfața routerOS); output înseamnă datele trimise de RouterOS (adică IP-ul sursă al pachetului este o adresă IP în interfața routerOS); Redirecționarea înseamnă redirecționarea prin routerOS (de exemplu, dacă calculatorul tău intern accesează o rețea externă, datele trebuie redirecționate prin routerOS).
De exemplu, în postarea "[Partajare] metoda PING de interdicție ROS", în general trebuie să adăugăm reguli în lanțul de intrare deoarece pachetul este trimis către routeros, iar adresa IP de destinație a pachetului este o adresă IP de interfață a routeros.
(Desigur, dacă insiști să setezi o regulă în ieșire pentru a filtra informațiile ICMP, poți face și ping, când pachetul pe care îl trimiți ajunge la Routeos, RouteOS poate primi pachetul și răspunde, iar când routerOS răspunde la pachetul tău de trimis, va verifica regulile ieșirii și va filtra pachetele care îți răspund.) )
Fiecare regulă din fiecare lanț are un IP țintă, un IP sursă și o interfață de intrare (în interfață), care este foarte flexibilă pentru a stabili reguli. De exemplu, în "[Share] ROS Prohibition PING Method", poți preveni ping-urile de rețea externă de la routeros, doar selectează interfața la care ești conectat în rețeaua externă din interfața in. Dacă dezactivezi ping-ul intern, poți alege să te conectezi la rețeaua ta internă. Dacă toate ping-urile sunt interzise, atunci interfața le alege pe toate. Desigur, pentru a interzice ping-ul, trebuie să alegi icmp, iar acțiunea ar trebui să aleagă renunțarea sau respingerea.
De asemenea, trebuie menționat că protocolul ICMP nu se referă la ping, dar ping este unul dintre protocoalele ICMP (tipul protocolului ICMP este 8 și codul este 0, scris ca icmp-options=8:0 în routeros; Și răspundem la ping-uri (codul ICMP tip 0 este 0), iar multe alte lucruri aparțin protocolului ICMP. De exemplu, dacă interzici rețelei interne să trimită ping tuturor rețelelor externe, poți stabili o regulă în lanțul direct, protocolul este ICMP, acțiunea este drop, iar celelalte sunt implicite, atunci rețeaua ta internă nu trimite niciun ping la adrese externe, iar dacă folosești comanda trancroute pentru a urmări ruta, nu va putea urmări ruta. Regula este să fii atent la fiecare detaliu.
De asemenea, cele trei lanțuri de intrare, ieșire și direcționare permit implicit toate datele în routeros. Adică, dacă nu interzici explicit acest lucru în reguli, este permis. Poți modifica politica implicită setând IP firewall input policy=drop, etc.
Este scrisă foarte mult, astfel încât începătorii să o poată înțelege bine. Bine ați venit la discuție!
|
Postat pe 07.12.2015 17:50:26
|
|
|
