ROS防火墙属于包过滤形式的,使用者可以自定义规则过滤掉三种类型的包:
发往ROS、从ROS发出、通过ROS转发的数据包。
在ROS中定义了三个防火墙(过滤)盾牌,也就是大家说的链表
(即input、forward、output),input,output,forward三条链在ROS中默认都是允许所有的数据,使用者可以在这三个链当中定义使用者自己的环境规则。
下面来根据官方的资料整理和个人在使用当中的经验来说说这几个防火墙盾牌的具体情况:
1.input是指发往ROS自己的数据,也就是目的ip是ROS接口中的一个ip地址,或内或外。
2.output是指从ROS发出去的数据,也就是数据包源ip是ROS接口中的一个ip地址也是或内或外
3.forward是指通过ROS转发的,这个是一个外交行为,ROS中的forward相当于外交部的职能。
4.
举个例子来说,
禁止内网拼ROS,通常在input链中添加规则,因为数据包的目标ip:ROS的一个接口ip地址。可以狭义理解为网关地址(无论来源)
在每条链中的每条规则都有三个族群:
目标ip,
源ip,
进入的接口类型(inte***ce),
从接口的意义来举个例子说说:
依然是ROS禁止P,禁止外网p使用者ROS,只需要在in inte***ce中选择使用者连外部网络的接口。禁止内部p的话可以选择连使用者内部网络的接口。
如果禁止所有的p的话,那么接口选择all。协议要选择icmp ,drop或reject这样的行为。
顺便谈谈icmp,是当p时候使用icmp协议中的一种,我们p 出去发送的数据包icmp协议的类型为8 代码为0,在ROS中写为icmp-options=8:0;而我们对p做出回应icmp类型为0 代码为0
发往ROS、从ROS发出、通过ROS转发的数据包。
在ROS中定义了三个防火墙(过滤)盾牌,也就是大家说的链表
(即input、forward、output),input,output,forward三条链在ROS中默认都是允许所有的数据,使用者可以在这三个链当中定义使用者自己的环境规则。
下面来根据官方的资料整理和个人在使用当中的经验来说说这几个防火墙盾牌的具体情况:
1.input是指发往ROS自己的数据,也就是目的ip是ROS接口中的一个ip地址,或内或外。
2.output是指从ROS发出去的数据,也就是数据包源ip是ROS接口中的一个ip地址也是或内或外
3.forward是指通过ROS转发的,这个是一个外交行为,ROS中的forward相当于外交部的职能。
4.
举个例子来说,
禁止内网拼ROS,通常在input链中添加规则,因为数据包的目标ip:ROS的一个接口ip地址。可以狭义理解为网关地址(无论来源)
在每条链中的每条规则都有三个族群:
目标ip,
源ip,
进入的接口类型(inte***ce),
从接口的意义来举个例子说说:
依然是ROS禁止P,禁止外网p使用者ROS,只需要在in inte***ce中选择使用者连外部网络的接口。禁止内部p的话可以选择连使用者内部网络的接口。
如果禁止所有的p的话,那么接口选择all。协议要选择icmp ,drop或reject这样的行为。
顺便谈谈icmp,是当p时候使用icmp协议中的一种,我们p 出去发送的数据包icmp协议的类型为8 代码为0,在ROS中写为icmp-options=8:0;而我们对p做出回应icmp类型为0 代码为0
由阳光利群于周六 十二月 01, 2012 6:42 pm进行了最后一次编辑,总共编辑了1次