RouterOS防火墙与过滤详解RouterOS能对包状态过滤;P2P协议过滤;源和目标NAT;对源MAC、IP地址、端口、IP协议、协议(ICMP、TCP、MSS等)、接口、对内部的数据包和连接作标记、ToS字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制...下面是RouterOS对IP流的处理流程:RouterOS防火墙类型MikroTikRouterOS具备强大的防火墙,根据不同的环境和类别我们可以把RouterOS的分未如下几个类型:从网络层上分类:分为二层过滤防火墙和三层与三层以上过滤防火墙,他们分别在bridgefilter和ipfirewallfilter下进行操作,能对各层的数据进行处理。从数据传输上分类:分为input、foreward和output三种链表(chain)过滤,不管是二层或者三层过滤上都包含这三个链表。同时RouterOS还支持自定义防火墙链表。如下面的virus病毒链表。我们可以通过jump命令将数据跳转到指定的链表。上面的图片是显示了几个自定义链表,除了我们在右上角,下拉菜单看到的input、forward、output基本链表外(all、dynamic、static是系统状态链表),可以看到自定义的Robotdog、ICMP、virus这三个链表。RouterOSIPfirewallfilter工作原理下面是三条预先设置好了的chains,他们是不被能删除的:input–用于处理进入路由器的数据包,即数据包目标IP地址是到达路由器一个接口的IP地址,经过路由器的数据包不会在input-chains处理。forward–用于处理通过路由器的数据包output–用于处理源于路由器并从其中一个接口出去的数据包。当处理一个chain(数据链),策略是从chain列表的顶部从上而下执行的。即先进先出法(FirstInFirstOut)如图:我们通过先进先出法可以理解到,过滤数据时我们可以通过以下的两种原则“先丢弃后接受和先接受后丢弃”:现在我来看事例中的防火墙规则,我先从input链表开始,这里是对所有访问路由的数据进行过滤和处理:从input链表中可以看到,我们对进入路由器的数据采用先拒绝非法的数据和连接,并将ICMP数据跳转到自定义的ICMP的链表中过滤。下面是forward链表一个应用防火墙事例:forward链表,我们首先拒绝大多数机器狗访问的目标地址,然后跳转到机器狗链表中对相应的域名和IP进行过滤,接下来是对非法数据包、TCP连接数、非单播数据、ICMP协议和常见的病毒等进行过滤。事例:下面是禁止任何地址通过TCP/135端口访问到本地路由器,因为是访问本地路由器的数据,这里进入input链表进行操作:禁止内网192.168.1.100的电脑上网,我们通过forward链表进行控制:我们来看看Jump操作在forward链表中的工作过程:在forward中数据遇到jump规则,会判断数据是否符合定义jump规则,如果满足条件将跳转到指定的链表,如上图的ICMP和virus链表,当在数据进入这些链表执行完后,会返回jump规则所在的forward链表中。IPFirewall协议深入解析TCP/IP协议和构架我们首先理解一下,TCP/IP体系结构:(1)网络接口层网络接口层,也被称为网络访问层,包括了能使用TCP/IP与物理网络进行通信的协议,它对应OSI的物理层和数据链路层。TCP/IP标准并没有定义具体的网络接口协议。具体的网络接口协议在实际应用的网络如Ethernet、ATM、FDDI、X.25、PPP、Token-Ring等中定义。(2)网络层网络层是在TCP/IP标准中正式定义的第一层。网络层所执行的主要功能是处理来自传输层的分组,将分组形成数据包(IP数据包),并为该数据包进行路径选择,最终将数据包从源主机发送到目的主机,在网络层中,最常用是网络协议IP,其他一些协议用来协助IP的操作。网络层的协议有:IP、ARP、RARP、ICMP、IGMP(3)传输层TCP/IP的传输层也被称为主机至主机层,与OSI的传输层类似,主要负责主机到主机之间的端对端通信,该层使用了两种协议来支持两种数据的传送方法,即TCP协议和UDP协议。(4)应用层在TCP/IP模型中,应用程序接口是最高层,它与OSI模型中的高三层的任务相同用于提供网络服务,比如文件传输、远程登录、域名服务和简单网络管理等。我们的RouterOS中,ipfirewallfilter主要负责的是网络层、传输层和应用层,网络接口层则由bridgefilter负责处理。我们从上面的图看到,在RouterOS的filter规则中,可以找到Protocol...
