"[Paylaş] ROS Yasaklama PING Yöntemi" yazısını okuduktan sonra, herkesin routerOS güvenlik duvarı ve temel TCP/IP protokolü hakkında iyi bir anlayışa sahip olmadığını hissediyorum. Burada görüşlerimi paylaşacağım ki benimle tartışıp öğrenebilesiniz.
RouterOS'u sevmemin bir nedeni, RouterOS güvenlik duvarı özelliğinin çok esnek olması. RouterOS Güvenlik Duvarı, RouterOS üzerinden gönderilen, gönderilen ve iletilen paketleri filtrelemek için bir dizi kural tanımlamanıza olanak tanıyan bir paket filtreleme güvenlik duvarıdır. RouterOS Güvenlik Duvarı, kendi kurallarınızı tanımlayabileceğiniz üç güvenlik duvarı (filtreleme) zinciri (yani giriş, ilete, çıkış) tanımlar. burada giriş, RouterOS'a gönderilen veriyi ifade eder (yani, hedef IP routerOS arayüzünde bir IP adresidir); çıktı, RouterOS'tan gönderilen veri anlamına gelir (yani, paket kaynak IP'si routerOS arayüzünde bir IP adresidir); İleri, routerOS üzerinden yönlendirme anlamına gelir (örneğin, dahili bilgisayarınız harici bir ağa erişiyorsa, veri routerOS üzerinden yönlendirilmelidir).
Örneğin, "[Paylaşma] ROS yasaklama PING yöntemi" gönderisinde, genellikle giriş zincirine kurallar eklememiz gerekir çünkü paket routeros'a gönderilir ve paketin hedef IP'si routeros'un arayüz IP adresidir.
(Tabii ki, çıkışta ICMP bilgilerini filtrelemek için bir kural kuralda ısrarla çalışırsanız, ping de yapabilirsiniz; ping yaptığınız paket Routeos'a ulaştığında RouteOS paketi alıp yanıt verebilir, routerOS ise gönderilecek paketinize yanıt verdiğinde çıkış kurallarını kontrol eder ve size yanıt veren paketleri filtreler.) )
Her zincirdeki her kuralın hedef IP, kaynak IP ve kurallar oluşturmak için çok esnek olan bir gelen arayüz (arayüzde) vardır. Örneğin, "[Paylaş] ROS Yasaklama PING Yöntemi"nde, routero'lardan gelen harici ağ pinglerini önleyebilirsiniz, sadece arayüzdeki harici ağa bağlı olduğunuz arayüzü seçebilirsiniz. Dahili ping'i devre dışı bırakırsanız, dahili ağınıza bağlanmayı seçebilirsiniz. Tüm pingler yasaklanıyorsa, arayüz hepsini seçer. Tabii ki, ping'i engellemek için icmp'yi seçmeniz gerekiyor ve eylem düşürme veya reddetme seçeneği olmalı.
Ayrıca, ICMP protokolünün ping'e atıfta bulunmadığı, ancak ping'in ICMP protokollerinden biri olduğu belirtilmelidir (ICMP protokolünün türü 8 ve kod 0'dır, routeros'ta icmp-options=8:0 olarak yazılır; Ping'lere (ICMP tip 0 kodu 0) yanıt veriyoruz ve ICMP protokolüne ait başka birçok şey de var. Örneğin, dahili ağın tüm dış ağları pinglamasını engellerseniz, ileri zincirde bir kural oluşturabilirsiniz; protokol ICMP, işlem drop ve diğer varsayılanlar, sonra iç ağınız harici adres ping atmaz ve trancroute komutunu kullanarak rotayı takip edemez. Kural her detaya dikkat etmek.
Ayrıca, giriş, çıkış ve yönlendirme zincirleri routero'larda varsayılan olarak tüm veriyi sağlar. Yani, kurallarda açıkça yasaklanmadıkça izin verilir. Varsayılan politikayı ip firewall input policy=drop vb. ayarlayarak değiştirebilirsiniz.
Çok uzun ve uzun yazılmıştır, böylece yeni başlayanlar iyi anlayabilir. Tartışmaya hoş geldiniz!
|
Yayınlandı 7.12.2015 17:50:26
|
|
|
