Після прочитання посту «[Поділитися] метод заборони ROS PING» я відчуваю, що не всі добре розуміють міжмережевий екран routerOS і базовий протокол TCP/IP. Тут я поділюся своїми поглядами, щоб ви могли обговорювати та навчатися зі мною.
Одна з причин, чому мені подобається RouterOS, полягає в тому, що функція міжмережевого екрану RouterOS дуже гнучка. Міжмережевий екран RouterOS — це міжмережевий екран із фільтрацією пакетів, який дозволяє визначати низку правил для фільтрації пакетів, що надсилаються до, від або через RouterOS. Firewall RouterOS визначає три ланцюги фільтрації (вхід, пересила, вихід), у межах яких ви можете визначати власні правила. де вхід означає дані, що надсилаються безпосередньо RouterOS (тобто IP-адреса призначення є IP-адресою в інтерфейсі routerOS); output означає дані, які надсилаються з RouterOS (тобто IP-адреса джерела пакета є IP-адресою в інтерфейсі routerOS); Переадресація означає пересилання через routerOS (наприклад, якщо ваш внутрішній комп'ютер отримує доступ до зовнішньої мережі, дані потрібно пересилати через routerOS).
Наприклад, у дописі «[Sharing] ROS заборону PING методу» зазвичай потрібно додавати правила до вхідного ланцюга, оскільки пакет надсилається на routeros, а IP призначення пакета є IP-адресою інтерфейсу routeros.
(Звісно, якщо ви наполягаєте на встановленні правила у вихідному коді для фільтрації інформації ICMP, ви також можете зробити ping: коли пакет, який ви пінгуєте, досягне Routeos, RouteOS зможе прийняти пакет і відповісти, а коли routeros реагує на ваш пакет для відправлення, він перевірить правила виводу і відфільтрує пакети, які відповідають вам.) )
Кожне правило в кожному ланцюжку має цільову IP, вихідну IP та вхідний інтерфейс (в інтерфейсі), що дуже гнучко для встановлення правил. Наприклад, у методі «[Share] ROS Forbidden PING Method» ви можете запобігти зовнішнім мережевим пінгам від routeros, просто виберіть інтерфейс, до якого ви підключені до зовнішньої мережі в вхідному інтерфейсі. Якщо вимкнути внутрішній пінг, можна обрати підключення до внутрішньої мережі. Якщо всі пінги заборонені, інтерфейс обирає всі. Звісно, щоб заборонити пінг, потрібно вибрати ICMP, а дія — drop або re.
Варто також зазначити, що протокол ICMP не означає ping, але ping є одним із протоколів ICMP (тип протоколу ICMP — 8, код — 0, записується як icmp-options=8:0 у routeros; Ми реагуємо на пінги (код ICMP типу 0 — 0), і багато інших речей також належать до протоколу ICMP. Наприклад, якщо ви забороняєте внутрішній мережі пінгувати всі зовнішні мережі, ви можете встановити правило у прямому ланцюжку: протокол ICMP, дія — відкидається, а інше — за замовчуванням, тоді ваша внутрішня мережа не пінгує зовнішніх адрес, і якщо ви використовуєте команду trancroute для відстеження маршруту, вона не зможе відстежити маршрут. Правило — звертати увагу на кожну деталь.
Також три ланцюги вводу, виводу та пересилання дозволяють за замовчуванням розміщувати всі дані в routerOS. Тобто, якщо ви не забороняєте це прямо в правилах, це дозволено. Ви можете змінити стандартну політику, встановивши ip firewall input policy=drop тощо.
Вона написана дуже розлого, щоб початківці могли добре її зрозуміти. Ласкаво просимо до обговорення!
|
Опубліковано 07.12.2015 17:50:26
|
|
|
