网大防火墙filte教程
firewall filteFirewall 对经过路由器的数据包进行过滤,因此能管理数据流,为网络提供安全功能,为网络提供地址翻译功能,能阻止未经过认证的访问直接访问网络,并能过滤路由器向外发出的数据。
快速设置向导
添加一条firewall规则,将所有通过路由器到目标协议为TCP,端口为135的数据包丢弃:
/ip firewall filte add chain=forward dst-port=135 protocol=tcp action=drop
拒绝通过telnet访问路由器(协议TCP 端口23):
/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop
Firewall过滤
操作路径:/ip firewall filter
网络防火墙始终保持对那些有威胁的数据进入内部网络,无聊怎么样网络都是连接在一起的,总是会有某些从外闯入你的LAN,窃取资料和破坏内部网络,适当的配置防火墙可以有效的保护网络。
Mikrotik RouterOS是功能非常强大的防火墙,包括以下特性:
包过滤功能
P2P协议过滤
7层协议过滤
IPv6防火墙过滤
数据传输分类
源MAC地址
IP地址(网大或者列表)和地址类型(广播,本地,组播)
端口和端口长度
IP协议
协议选择选项(ICMP类型和代码字段,TCP标记,IP选项和MSS)
Interface的数据包从哪里到达或哪里去
数据流与连接标记
ToS(DSCP)byte
数据包内容packet content
rate at which packets arrive and sequence numbers
数据包大小
包到达时间
基本过滤规则
防火墙操作是借助于防火墙的策略,一个策略是告诉路由器如何处理一个IP数据包的决定,每条策略由两部分组成,一部分是传输状态配置和定义如何操作数据包。数据链(chain)是为了更好地管理和组织策略。
过滤功能有三个默认的数据链(chain):input forward和output他们分别负责从哪里进入路由器的,通过路由器转发的与从路由器发出的数据。用户也可用自定义添加链,当然这些链没有默认的传输配置,需要在三条默认的链中对action=jump策略中相关的jump target进行配置。
过滤链
下买你是三条预先设置好的chain,他们是不能被删除的:
input用于处理进入路由器的数据包,即数据包目标IP地址是到达路由器一个接口的IP地址,经过路由器的数据包不会再input chain处理
forward 用于处理通过路由器的数据包
output 用于处理源于路由器并从其中一个接口出去的数据包。
他们的具体区别如下图
当执行一个chain,策略从chain列表的顶部从上而下执行,如果一个数据包满足策略的条件,这时会执行该操作。
我们来看看防火墙的过滤原则:
现在我们来看实例中的防火墙规则:
防火墙规则
我们先从input链表开始,这里对所有访问路由器的数据进行过滤和处理:
从input链表第一条开始执行,这里一共有三条规则:
接受你信任的IP地址访问(src-address=填写信任的IP,默认允许任何地址)
chain=input src-address=192.168.100.2 action=accept
丢弃非法连接
chain=input connection-state=invalid action=drop
丢弃任何访问数据
chain=input action=drop
forward链表
forward链表一共有七条规则,包括两个跳转到自定义链表ICMP和virus链表
接受已建立连接的数据
chain=forward connection-state=established action=accept
接受相关数据
chain=forward connection-state=related action=accept
丢弃非法数据
chain=forward connection-state=invalid action=drop
限制每个主机TCP连接数为80条
chain=forward protocol=tcp connection-limit=80,32 action=drop
丢弃所有非单播数据
chain=forward src-address-type=!unicast action=drop
跳转到ICMP链表
chain=forward protocol=icmp action=jump jump-target=ICMP
跳转到病毒链表
chain=forward action=jump jump-target=virus
在自定义的ICMP中,是定义所有ICMP(internet控制报文协议),ICMP进程被认为是IP协议的一个重要组成部分。它传递差错报文以及其他需要注意到信息,ICMP报文通常被IP层或更高层协议(TCP或UDP)使用,例如:ping traceroute,trace TTL等,我们通过ICMP链表来过了所有的ICMP协议:
ICMP链表操作过程:
ping应答限制为5个包
chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
页:
[1]