RouterOS防火墙与过滤详解要点.pdfVIP

RouterOS 防火墙与过滤详解 ( 一) MikroTik RouterOS 能对包状态过滤； P2P协议过滤；源和目标 NAT；对源 MAC、 IP 地址、端口、 IP 协议、协议（ ICMP、TCP、MSS等）、接口、对内部的数据包 和连接作标记、 ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度 控制 ... 下面是 RouterOS对 IP 流的处理流程： RouterOS 防火墙类型 MikroTik RouterOS 具备强大的防火墙，根据不同的环境和类别我们可以把 RouterOS 的分未如下几个类型： 从网络层上分类： 分为二层过滤防火墙和三层与三层以上过滤防火墙， 他们分别 在 bridge filter 和 ip firewall filter 下进行操作，能对各层的数据进行处 理。 从数据传输上分类：分为 input 、foreward 和 output 三种链表（ chain ）过滤， 不管是二层或者三层过滤上都包含这三个链表。 同时 RouterOS 还支持自定义防火墙链表。如下面的 virus 病毒链表。我们可以 通过 jump 命令将数据跳转到指定的链表。 上面的图片是显示了几个自定义链表，除了我们在右上角，下拉菜单看到的 input 、forward 、output 基本链表外 （all 、dynamic 、static 是系统状态链表） ， 可以看到自定义的 Robotdog、ICMP、virus 这三个链表 RouterOS 防火墙与过滤详解 ( 二) RouterOS IP firewall filter 工作原理 下面是三条预先设置好了的 chains ，他们是不被能删除的： input – 用于处理进入路由器的数据包， 即数据包目标 IP 地址是到达路由器一 个接口的 IP 地址，经过路由器的数据包不会在 input-chains 处理。 forward – 用于处理通过路由器的数据包 output – 用于处理源于路由器并从其中一个接口出去的数据包。 当处理一个 chain （数据链），策略是从 chain 列表的顶部从上而下执行的。即 先进先出法（ First In First Out ）如图 : 我们通过先进先出法可以理解到， 过滤数据时我们可以通过以下的两种原则“先 丢弃后接受和先接受后丢弃”： 现在我来看事例中的防火墙规则， 我先从 input 链表开始， 这里是对所有访问路 由的数据进行过滤和处理： 从 input 链表中可以看到， 我们对进入路由器的数据采用先拒绝非法的数据和连 接，并将 ICMP数据跳转到自定义的 ICMP的链表中过滤。 下面是 forward 链表一个应用防火墙事例： forward 链表，我们首先拒绝大多数机器狗访问的目标地址，然后跳转到机器狗 链表中对相应的域名和 IP 进行过滤，接下来是对非法数据包、 TCP连接数、非 单播数据、 ICMP协议和常见的病毒等进行过滤。 事例： 下面是禁止任何地址通过 TCP/135 端口访问到本地路由器， 因为是访问本地路由 器的数据，这里进入 input 链表进行操作： 试验： 1、在 input 中配置一个规则组，通过接受 和 0 的 IP 能访问路由器，其他地址禁止访问路由器 2、导入一个防火墙脚本，并禁止 ICMP协议通过路由器访问外网。 我们来看看 Jump操作在 forward 链表中的工作过程： 在 forward 中数据遇到 jump 规则，会判断数据是否符合定义 jump 规则，如果满 足条件将跳转到指定的链表，如上图的 ICMP和 virus 链表，当在数据进入