MikroTik RouterOS应用事例讲解
|
导航:
防火墙配置规则防火墙Tracking设置双线备份自动切换配置源地址双线应用配置端口策略路由配置透明传输整形器配置电信网通流量控制动态流量控制PPTP借线配置Hotspot服务器配置PPPoE服务器配置EoIP隧道配置User Manager操作配置Webbox配置无线网络PPTP远程办公互联配置1:1NAT实例
下面是三条预先设置好了的chains,他们是不被能删除的:
- input–用于处理进入路由器的数据包,即数据包目标IP地址是到达路由器一个接口的IP地址,经过路由器的数据包不会在input-chains处理。
- forward–用于处理通过路由器的数据包
- output–用于处理源于路由器并从其中一个接口出去的数据包。
他们具体的区别如下:
当处理一个chain(数据链),策略是从chain列表的顶部从上而下执行的。如果一个数据包满足策略的条件,这时会执行该操作。
我们来看看防火墙过滤原则:
现在我来看事例中的防火墙规则:
我先从input链表开始,这里是对所有访问路由的数据进行过滤和处理:
从input链表的第一条开始执行,这里一共有三条规则:
0 ;;; 接受你信任的IP地址访问(src-address=填写信任IP,默认允许任何地址)
chain=input src-address=192.168.100.2 action=accept
1 ;;; 丢弃非法连接
chain=input connection-state=invalid action=drop
2 ;;; 丢弃任何访问数据
chain=input action=drop
下面是forward链表
forward链表,一共有7条规则,包括两个跳转到自定义链表ICMP和virus链表:
0 ;;; 接受已建立连接的数据
chain=forward connection-state=established action=accept
1 ;;; 接受相关数据
chain=forward connection-state=related action=accept
2 ;;; 丢弃非法数据包
chain=forward connection-state=invalid action=drop
3 ;;; 限制每个主机TCP连接数为80条
chain=forward protocol=tcp connection-limit=80,32 action=drop
4 ;;; 丢弃掉所有非单播数据
chain=forward src-address-type=!unicast action=drop
5 ;;; 跳转到ICMP链表
chain=forward protocol=icmp action=jump jump-target=ICMP
6 ;;; 跳转到病毒链表
chain=forward action=jump jump-target=virus
forward工作过程如下:
在自定义链表ICMP中,是定义所有ICMP(Internet控制报文协议),ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。ICMP报文通常被IP层或更高层协议(TCP或UDP)使用。例如:ping、traceroute、trace TTL等。我们通过ICMP链表来过滤所有的ICMP协议:
ICMP链表操作过程:
0 ;;; Ping应答限制为每秒5个包
chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
1 ;;; Traceroute限制为每秒5个包
chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept
2 ;;; MTU线路探测限制为每秒<SPAN lang=EN-US style="FONT-SIZE: 9pt; COLOR: maroon; FONT-FAMILY:
相关阅读:
- [原创]Linux应用心得(2008/02/04版) (cnangel, 2008-2-04)
- 风投公司斥资1亿美元寻求iPhone应用开发 (linuxpk, 2008-3-12)
TAG: MikroTik RouterOS 讲解 事例 应用
