Po branju objave "[Deli] ROS Prohibition PING Method" menim, da vsi nimajo dobrega razumevanja o požarnem zidu routerOS in osnovnem TCP/IP protokolu. Tukaj bom delil svoje poglede, da boste lahko razpravljali in se učili z mano.
Eden od razlogov, zakaj mi je RouterOS všeč, je, da je funkcija požarnega zidu RouterOS zelo prilagodljiva. Požarni zid RouterOS je požarni zid za filtriranje paketov, ki vam omogoča, da določite niz pravil za filtriranje paketov, poslanih v, iz in posredovanih prek RouterOS. Firewall RouterOS definira tri verige požarnih zidov (filtriranje) (tj. vhodni, naprej, izhodni), znotraj katerih lahko določite svoja lastna pravila. kjer vhod pomeni podatke, poslane samemu RouterOS (to pomeni, da je ciljni IP naslov IP v vmesniku routerOS); output pomeni podatke, poslane iz RouterOS (to pomeni, da je izvorni IP paketa IP naslov v vmesniku routerOS); Posredovanje pomeni posredovanje prek routerOS (na primer, če vaš notranji računalnik dostopa do zunanjega omrežja, je treba podatke posredovati prek vašega routerOS).
Na primer, v objavi »[Deli] ROS prepoved PING metode« moramo običajno dodati pravila v vhodno verigo, ker je paket poslan v routero, ciljni IP paketa pa je IP vmesnik routerosov.
(Seveda, če vztrajate pri nastavitvi pravila v izhodu za filtriranje ICMP informacij, lahko uporabite tudi ping, ko paket, ki ga pošljete, doseže Routeos, lahko RouteOS prejme paket in odgovori, ko pa Routeros odgovori na vaš poslani paket, preveri pravila izhoda in filtrira pakete, ki vam odgovorijo.) )
Vsako pravilo v vsaki verigi ima ciljni IP, izvorni IP in vhodni vmesnik (v vmesniku), ki je zelo prilagodljiv za vzpostavitev pravil. Na primer, v metodi "[Share] ROS Prohibition PING Method" lahko preprečite zunanje omrežne pinge iz usmerjevalnikov, samo izberite vmesnik, na katerega ste povezani v zunanjem omrežju v vhodnem vmesniku. Če onemogočite notranji ping, se lahko odločite za povezavo z notranjim omrežjem. Če so vsi pingi prepovedani, vmesnik izbere vse. Seveda morate za prepoved pinga izbrati icmp, akcija pa naj izbere drop ali reject.
Prav tako je treba poudariti, da ICMP protokol ne uporablja pinga, vendar je ping eden izmed ICMP protokolov (tip ICMP protokola je 8, koda pa 0, zapisan kot icmp-options=8:0 v routeros; In odgovarjamo na pinge (ICMP tip 0 koda je 0), in še veliko drugih stvari spada v ICMP protokol. Na primer, če prepoveš notranjemu omrežju, da pinga vsa zunanja omrežja, lahko vzpostaviš pravilo v napredni verigi, protokol je ICMP, akcija je drop, ostali pa privzeti, nato tvoje notranje omrežje ne pinga zunanjih naslovov, in če uporabiš ukaz trancroute za sledenje poti, ne bo moglo slediti poti. Pravilo je, da paziš na vsak detajl.
Prav tako tri verige vhoda, izhoda in posredovanja privzeto dovoljujejo vse podatke v routerosih. Torej, razen če to izrecno prepovedujete v pravilih, je dovoljeno. Privzeto politiko lahko spremeniš tako, da nastaviš IP požarni zid vhodna politika=drop itd.
Napisana je zelo obsežno, da jo začetniki lahko dobro razumejo. Dobrodošli v razpravi!
|
Objavljeno na 7. 12. 2015 17:50:26
|
|
|
