Efter att ha läst inlägget "[Dela] ROS Prohibition PING Method" känner jag att ingen har en god förståelse för routerOS-brandväggen och grundläggande TCP/IP-protokollet. Här kommer jag att dela mina åsikter så att ni kan diskutera och lära med mig.
En anledning till att jag gillar RouterOS är att RouterOS-brandväggsfunktionen är väldigt flexibel. RouterOS Firewall är en paketfiltreringsbrandvägg som låter dig definiera en serie regler för att filtrera bort paket som skickas till, från och vidarebefordras via RouterOS. RouterOS Firewall definierar tre brandväggskedjor (filtreringskedjor (dvs. inmatning, vidarebefordran, utdata) inom vilka du kan definiera dina egna regler. där input avser data som skickas till RouterOS själv (det vill säga, destinations-IP:n är en IP-adress i routerOS-gränssnittet); output betyder data som skickas från RouterOS (det vill säga att paketkäll-IP:n är en IP-adress i routerOS-gränssnittet); Vidarebefordran innebär vidarebefordran via routerOS (till exempel, om din interna dator får tillgång till ett externt nätverk måste data vidarebefordras via ditt routerOS).
Till exempel, i inlägget "[Delning] ROS-förbudsmetoden" behöver vi generellt lägga till regler i inmatningskedjan eftersom paketet skickas till routerOS, och paketets destinations-IP är en interface-IP-adress för routerOS.
(Självklart, om du insisterar på att sätta upp en regel i utdatan för att filtrera bort ICMP-information, kan du också pinga; när paketet du pingar når Routeos kan RouteOS ta emot paketet och svara, och när routerOS svarar på ditt paket som ska skickas, kommer det att kontrollera reglerna för utdatan och filtrera bort paketen som svarar dig.) )
Varje regel i varje kedja har en mål-IP, en käll-IP och ett inkommande gränssnitt (i gränssnittet), vilket är mycket flexibelt för att fastställa regler. Till exempel, i "[Share] ROS Prohibition PING Method" kan du förhindra externa nätverkspingar från routerOS, välj bara gränssnittet du är ansluten till i det externa nätverket i in-gränssnittet. Om du inaktiverar intern ping kan du välja att ansluta till ditt interna nätverk. Om alla pingar är förbjudna väljer gränssnittet alla. Självklart, för att förbjuda ping måste du välja icmp, och action bör välja drop eller reject.
Det bör också noteras att ICMP-protokollet inte syftar på ping, men ping är ett av ICMP-protokollen (typen av ICMP-protokoll är 8 och koden är 0, skriven som icmp-options=8:0 i routerOS; Och vi svarar på pings (ICMP typ 0-kod är 0), och många andra saker tillhör också ICMP-protokollet. Till exempel, om du förbjuder det interna nätverket att pinga alla externa nätverk, kan du etablera en regel i forward-kedjan, protokollet är ICMP, åtgärden är dropp och de andra standardinställningarna, då pingar ditt interna nätverk inga externa adresser, och om du använder trancroute-kommandot för att spåra rutten kommer det inte att kunna spåra rutten. Regeln är att vara uppmärksam på varje detalj.
Dessutom tillåter de tre kedjorna inmatning, utgång och vidarebefordran all data som standard i routerOS. Det vill säga, om du inte uttryckligen förbjuder det i reglerna, är det tillåtet. Du kan ändra standardpolicyn genom att sätta ip firewall input policy=drop, etc.
Den är skriven mycket långrandig, så att nybörjare kan förstå den väl. Välkommen till diskussionen!
|
Publicerad på 2015-12-07 17:50:26
|
|
|
