Would you like to react to this message? Create an account in a few clicks or log in to continue.
热烈祝贺小白之家论坛正式开始BBS之路!!!本论坛将成为小白之家的官方事务站点,其他论坛转载技术文章请先和本论坛管理员沟通,否者诉诸法律。小白之家论坛是一个单纯技术性的论坛,论坛也是大家的共同的家园,论坛的每一位成员将在这里无偿学习到了更多的知识,欢迎更多RouterOS技术爱爱好者加盟。

您没有登录。 请登录注册

关于ROS防火墙的包过滤的类型拆解

+4
藤蔓网络
梦回大汉
龙堂电脑网络
阳光利群
8 posters

向下  留言 [第1页/共1页]

1关于ROS防火墙的包过滤的类型拆解 Empty 关于ROS防火墙的包过滤的类型拆解 周二 六月 19, 2012 8:38 pm

阳光利群

阳光利群
社区管理员
社区管理员

ROS防火墙属于包过滤形式的,使用者可以自定义规则过滤掉三种类型的包:

发往ROS、从ROS发出、通过ROS转发的数据包。

在ROS中定义了三个防火墙(过滤)盾牌,也就是大家说的链表

(即input、forward、output),input,output,forward三条链在ROS中默认都是允许所有的数据,使用者可以在这三个链当中定义使用者自己的环境规则。


下面来根据官方的资料整理和个人在使用当中的经验来说说这几个防火墙盾牌的具体情况:

1.input是指发往ROS自己的数据,也就是目的ip是ROS接口中的一个ip地址,或内或外。
2.output是指从ROS发出去的数据,也就是数据包源ip是ROS接口中的一个ip地址也是或内或外
3.forward是指通过ROS转发的,这个是一个外交行为,ROS中的forward相当于外交部的职能。



4.
举个例子来说,

禁止内网拼ROS,通常在input链中添加规则,因为数据包的目标ip:ROS的一个接口ip地址。可以狭义理解为网关地址(无论来源)





在每条链中的每条规则都有三个族群:
目标ip,
源ip,
进入的接口类型(inte***ce),




从接口的意义来举个例子说说:

依然是ROS禁止P,禁止外网p使用者ROS,只需要在in inte***ce中选择使用者连外部网络的接口。禁止内部p的话可以选择连使用者内部网络的接口。

如果禁止所有的p的话,那么接口选择all。协议要选择icmp ,drop或reject这样的行为。

顺便谈谈icmp,是当p时候使用icmp协议中的一种,我们p 出去发送的数据包icmp协议的类型为8 代码为0,在ROS中写为icmp-options=8:0;而我们对p做出回应icmp类型为0 代码为0



由阳光利群于周六 十二月 01, 2012 6:42 pm进行了最后一次编辑,总共编辑了1次

龙堂电脑网络

龙堂电脑网络
天使投资人
天使投资人

学习了。。。。老大 [hide][/hide]

梦回大汉

梦回大汉
天使投资人
天使投资人

受益匪浅啊 老大

藤蔓网络

藤蔓网络
VIP年会员
VIP年会员

通俗讲解 受益匪浅

jkyunpan

jkyunpan
中级会员
中级会员

进来学习了多谢。

ypfj2ee

ypfj2ee
初级会员
初级会员

复习了一下!说的很好啊!

baiyian

baiyian
初级会员
初级会员

复习了一下!说的很好啊!

ycliyong

ycliyong
初级会员
初级会员

不错~
学习了~~~

返回页首  留言 [第1页/共1页]

您在这个论坛的权限:
不能在这个论坛回复主题