資源描述:
《ROS軟路由防火墻配置規(guī)則》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1、ROS軟路由防火墻配置規(guī)則Routeros防火墻功能非常靈活����。routeros防火墻屬于包過(guò)濾防火墻��,你可以定義一系列的規(guī)則過(guò)濾掉發(fā)往routeros�、從routeros發(fā)出��、通過(guò)routeros轉(zhuǎn)發(fā)的數(shù)據(jù)包��。在routeros防火墻中定義了三個(gè)防火墻(過(guò)濾)鏈(即input��、forward���、output)��,你可以在這三個(gè)鏈當(dāng)中定義你自己的規(guī)則����?���! nput意思是指發(fā)往routeros自己的數(shù)據(jù)(也就是目的ip是routeros接口中的一個(gè)ip地址); output意思是指從routeros發(fā)出去的數(shù)據(jù)(也就是數(shù)據(jù)包源ip是r
2�����、outeros接口中的一個(gè)ip地址); forward意思是指通過(guò)routeros轉(zhuǎn)發(fā)的(比如你內(nèi)部計(jì)算機(jī)訪問(wèn)外部網(wǎng)絡(luò)��,數(shù)據(jù)需要通過(guò)你的routeros進(jìn)行轉(zhuǎn)發(fā)出去)���?���! 〗筽ingrouteros���,我們一般需要在input鏈中添加規(guī)則��,因?yàn)閿?shù)據(jù)包是發(fā)給routeros的����,數(shù)據(jù)包的目標(biāo)ip是routeros的一個(gè)接口ip地址���。(當(dāng)然如果你硬是要在output里建立一條規(guī)則過(guò)濾掉icmp信息也能做到ping不通,當(dāng)你ping的數(shù)據(jù)包到達(dá)routeos時(shí)��,routeos能接收這個(gè)數(shù)據(jù)包并做出回應(yīng)���,當(dāng)routeros回應(yīng)給你的包要發(fā)
3�、出去的時(shí)候會(huì)檢查output的規(guī)則并過(guò)濾掉回應(yīng)你的包。) 在每條鏈中的每條規(guī)則都有目標(biāo)ip��,源ip����,進(jìn)入的接口(ininterface),非常靈活的去建立規(guī)則�。比如ROS禁止PING,禁止外網(wǎng)ping你routeros��,只需要在ininterface中選擇你連外部網(wǎng)絡(luò)的接口�����。禁止內(nèi)部ping的話可以選擇連你內(nèi)部網(wǎng)絡(luò)的接口���。如果禁止所有的ping的話����,那么接口選擇all����。當(dāng)然禁止ping協(xié)議要選擇icmp,action選擇drop或reject�?�! ×硗庖⒁獾木褪?�,icmp協(xié)議并不是就指的是ping��,而是ping是使用icmp協(xié)
4��、議中的一種(我們ping出去發(fā)送的數(shù)據(jù)包icmp協(xié)議的類型為8代碼為0����,在routeros中寫為icmp-options=8:0�����;而我們對(duì)ping做出回應(yīng)icmp類型為0代碼為0)��,還有很多東西也屬于icmp協(xié)議��。打個(gè)比方���,如果你禁止內(nèi)部網(wǎng)絡(luò)ping所有外部網(wǎng)絡(luò),可以在forward鏈中建立一條規(guī)則�����,協(xié)議為icmp,action為drop���,其他默認(rèn)���,那么你內(nèi)部網(wǎng)絡(luò)ping不通外部任何地址,同時(shí)如果你用trancroute命令跟蹤路由也跟蹤不了����。在做規(guī)則是要注意每一個(gè)細(xì)節(jié)?����! ∵€有就是���,input���,output,forward三條鏈
5�、在routeros中默認(rèn)都是允許所有的數(shù)據(jù)。也就是除非你在規(guī)則中明確禁止��,否則允許���?�?梢酝ㄟ^(guò)ipfirewallsetinputpolicy=drop等進(jìn)行修改默認(rèn)策略 ros防火墻名詞解釋 input-進(jìn)入路由�����,并且需要對(duì)其處理 forward-路由轉(zhuǎn)發(fā) output-經(jīng)過(guò)路由處理��,并且從接口出去的包 action: 1accept:接受 add-dst-to-address-list-把一個(gè)目標(biāo)IP地址加入address-list add-src-to-address-list-把一個(gè)源IP地址加入addres
6��、s-list 2drop-丟棄 3jump-跳轉(zhuǎn)���,可以跳轉(zhuǎn)到一個(gè)規(guī)則主題里面�����,如inputforward����,也可以跳轉(zhuǎn)到某一條里面 4log-日志記錄 5passthrough-忽略此條規(guī)則 6reject-丟棄這個(gè)包����,并且發(fā)送一個(gè)ICMP回應(yīng)消息 7return-把控制返回給jump的所在 8tarpit-捕獲和扣留進(jìn)來(lái)的TCP連接(用SYN/ACK回應(yīng)進(jìn)來(lái)的TCPSYN包) address-list(name)-把從action=add-dst-to-address-listoraction=add-src-to
7���、-address-listactions得到的IP地址放入address-list列表.這個(gè)列表要用來(lái)對(duì)比address-list-timeout看是什么時(shí)候用address-listparameter從addresslist中移走 chain(forward
8��、input
9�、output
10、name)-使用chain得到特定列表����,不同的數(shù)據(jù)流經(jīng)過(guò)不同的chain規(guī)則 要仔細(xì)的選對(duì)正確的訪問(wèn)控制.如果input不是非常的確定和一個(gè)新的規(guī)則需要添加注釋, transferedthroughtheparticularconnectio
11、n 0的意思是無(wú)限的,例如connection-bytes=2000000-0意思是2MB以上 connection-limit(integer
12�����、netmask)-地址的傳輸流量控制 connection-mark(name)-傳輸中的標(biāo)記后
