Po prečítaní príspevku "[Zdieľať] ROS Prohibition PING Method" mám pocit, že nie každý má dobré pochopenie firewallu routerOS a základného protokolu TCP/IP. Tu sa podelím o svoje názory, aby ste mohli diskutovať a učiť sa so mnou.
Jedným z dôvodov, prečo mám rád RouterOS, je, že funkcia firewallu RouterOS je veľmi flexibilná. RouterOS Firewall je firewall na filtrovanie paketov, ktorý vám umožňuje definovať sériu pravidiel na filtrovanie paketov odoslaných do, odchádzajúcich a presmerovaných cez RouterOS. RouterOS Firewall definuje tri firewallové (filtračné) reťazce (t. j. vstup, preposielanie, výstup), v rámci ktorých si môžete definovať vlastné pravidlá. kde vstup odkazuje na dáta posielané priamo do RouterOS (teda cieľová IP adresa je IP adresa v rozhraní routerOS); output znamená dáta odoslané z RouterOS (t. j. zdrojová IP adresa paketu je IP adresa v rozhraní routerOS); Forward znamená presmerovanie cez routerOS (napríklad ak váš interný počítač pristupuje k externej sieti, dáta musia byť presmerované cez routerOS).
Napríklad v príspevku "[Sharing] ROS prohibition PING method" zvyčajne potrebujeme pridať pravidlá do vstupného reťazca, pretože paket sa posiela do routerov a cieľová IP adresa paketu je rozhraniová IP adresa routeros.
(Samozrejme, ak trváte na nastavení pravidla vo výstupe na filtrovanie ICMP informácií, môžete tiež použiť ping – keď paket, ktorý pingujete, dorazí do Routeos, RouteOS ho prijme a odpovie, a keď routeros odpovie na váš odoslaný paket, skontroluje pravidlá výstupu a odfiltruje pakety, ktoré vám odpovedajú.) )
Každé pravidlo v každom reťazci má cieľovú IP, zdrojovú IP a prichádzajúce rozhranie (v rozhraní), ktoré je veľmi flexibilné na stanovenie pravidiel. Napríklad v "[Share] ROS Prohibition PING Method" môžete zabrániť pingom externej siete z routeros, stačí vybrať rozhranie, ku ktorému ste pripojení, priamo v rozhraní. Ak vypnete interný ping, môžete sa rozhodnúť pripojiť k internej sieti. Ak sú všetky pingy zakázané, rozhranie vyberie všetky. Samozrejme, na zákaz pingu musíte zvoliť icmp a akcia by mala zvoliť drop alebo reject.
Treba tiež poznamenať, že protokol ICMP neodkazuje na ping, ale ping je jedným z ICMP protokolov (typ ICMP protokolu je 8 a kód je 0, zapísaný ako icmp-options=8:0 v routeros; A reagujeme na pingy (kód ICMP typu 0 je 0) a mnohé ďalšie veci tiež patria do protokolu ICMP. Napríklad, ak zakážete internej sieti pingovať všetky externé siete, môžete nastaviť pravidlo v forwardovom reťazci, protokol je ICMP, akcia je drop a ostatné predvolené, potom vaša interná sieť nepingne žiadne externé adresy a ak použijete príkaz trancroute na sledovanie trasy, nebude ju možné sledovať. Pravidlo je venovať pozornosť každému detailu.
Tiež tri reťazce vstupu, výstupu a preposielania umožňujú všetky dáta predvolene v routeroch. Teda, pokiaľ to výslovne nezakážete v pravidlách, je to povolené. Predvolenú politiku môžete upraviť nastavením IP firewall input policy=drop a podobne.
Je napísaná veľmi rozvláčne, aby ju začiatočníci dobre pochopili. Vitajte v diskusii!
|
Zverejnené 7. 12. 2015 17:50:26
|
|
|
