После прочтения поста «[Поделиться] ROS Forbidden PING Method» я чувствую, что не все хорошо разбираются в межсетевом экране routerOS и базовом протоколе TCP/IP. Здесь я поделюсь своими взглядами, чтобы вы могли обсудить и учиться со мной.
Одна из причин, почему мне нравится RouterOS, — функция межсетевого экрана RouterOS очень гибкая. Firewall RouterOS — это межсетевой экран с фильтрацией пакетов, который позволяет задавать ряд правил для фильтрации пакетов, отправляемых и пересылаемых через RouterOS. RouterOS Firewall определяет три цепочки фильтрации (то есть вход, пересылка, вывод), в рамках которых вы можете устанавливать собственные правила. где input относится к данным, передаваемым непосредственно RouterOS (то есть адрес назначения является IP-адресом в интерфейсе routerOS); output означает данные, отправляемые от RouterOS (то есть IP-адрес источника пакета является IP-адресом в интерфейсе RouterOS); Forward означает пересылку через routerOS (например, если ваш внутренний компьютер получает доступ к внешней сети, данные нужно пересылать через routerOS).
Например, в посте «[Sharing] ROS ban ping method» обычно нужно добавлять правила в входную цепочку, потому что пакет отправляется в routeros, а адрес-получатель пакета — это IP-адрес интерфейса routeros.
(Конечно, если вы настаиваете на установке правила для фильтрации информации ICMP, можно также использовать ping: когда ваш пакет достигает Routeos, RouteOS может принять пакет и ответить, а когда routeros отвечает на ваш отправленный пакет, он проверит правила вывода и отфильтрует пакеты, которые отвечают вам.) )
Каждое правило в каждой цепочке имеет целевой IP, исходный IP и входящий интерфейс (в интерфейсе), что очень гибко для установления правил. Например, в методе «[Share] ROS Forbidden PING Method» вы можете предотвратить внешние сетевые пинги от роутеров, просто выберите интерфейс, к которому вы подключены к внешней сети, в входящем интерфейсе. Если отключить внутренний пинг, можно выбрать подключение к внутренней сети. Если все пинги запрещены, то интерфейс выбирает все. Конечно, чтобы запретить пинг, нужно выбрать ICMP, а действие — drop или re.
Следует также отметить, что протокол ICMP не относится к ping, но ping является одним из протоколов ICMP (тип протокола ICMP — 8, код — 0, записывается как icmp-options=8:0 в routeros; Мы реагируем на пинги (код типа 0 ICMP равен 0), и многие другие функции также относятся к протоколу ICMP. Например, если вы запрещаете внутренней сети пинговать все внешние сети, вы можете установить правило в прямой цепочке: протокол ICMP, действие — отбрасывание, остальное по умолчанию, тогда ваша внутренняя сеть не отправляет внешние адреса, и если вы используете команду trancroute для отслеживания маршрута, она не сможет отслеживать маршрут. Правило — обращать внимание на каждую деталь.
Кроме того, три цепочки ввода, вывода и пересылки позволяют по умолчанию использовать все данные в роутерах. То есть, если вы явно не запрещаете это в правилах, это разрешено. Вы можете изменить стандартную политику, установив ip firewall input policy=drop и т..
Она написана очень подробно, чтобы начинающие могли хорошо её понять. Добро пожаловать в обсуждение!
|
Опубликовано 07.12.2015 17:50:26
|
|
|
