RouterOS防火墙与过滤详解(全)VIP免费

RouterOS防火墙与过滤详解RouterOS能对包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接作标记、ToS字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制...下面是RouterOS对IP流的处理流程：RouterOS防火墙类型MikroTikRouterOS具备强大的防火墙，根据不同的环境和类别我们可以把RouterOS的分未如下几个类型：从网络层上分类：分为二层过滤防火墙和三层与三层以上过滤防火墙，他们分别在bridgefilter和ipfirewallfilter下进行操作，能对各层的数据进行处理。从数据传输上分类：分为input、foreward和output三种链表（chain）过滤，不管是二层或者三层过滤上都包含这三个链表。同时RouterOS还支持自定义防火墙链表。如下面的virus病毒链表。我们可以通过jump命令将数据跳转到指定的链表。上面的图片是显示了几个自定义链表，除了我们在右上角，下拉菜单看到的input、forward、output基本链表外（all、dynamic、static是系统状态链表），可以看到自定义的Robotdog、ICMP、virus这三个链表。RouterOSIPfirewallfilter工作原理下面是三条预先设置好了的chains，他们是不被能删除的：input–用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址，经过路由器的数据包不会在input-chains处理。forward–用于处理通过路由器的数据包output–用于处理源于路由器并从其中一个接口出去的数据包。当处理一个chain（数据链），策略是从chain列表的顶部从上而下执行的。即先进先出法（FirstInFirstOut）如图：我们通过先进先出法可以理解到，过滤数据时我们可以通过以下的两种原则“先丢弃后接受和先接受后丢弃”：现在我来看事例中的防火墙规则，我先从input链表开始，这里是对所有访问路由的数据进行过滤和处理：从input链表中可以看到，我们对进入路由器的数据采用先拒绝非法的数据和连接，并将ICMP数据跳转到自定义的ICMP的链表中过滤。下面是forward链表一个应用防火墙事例：forward链表，我们首先拒绝大多数机器狗访问的目标地址，然后跳转到机器狗链表中对相应的域名和IP进行过滤，接下来是对非法数据包、TCP连接数、非单播数据、ICMP协议和常见的病毒等进行过滤。事例：下面是禁止任何地址通过TCP/135端口访问到本地路由器，因为是访问本地路由器的数据，这里进入input链表进行操作：禁止内网192.168.1.100的电脑上网，我们通过forward链表进行控制：我们来看看Jump操作在forward链表中的工作过程：在forward中数据遇到jump规则，会判断数据是否符合定义jump规则，如果满足条件将跳转到指定的链表，如上图的ICMP和virus链表，当在数据进入这些链表执行完后，会返回jump规则所在的forward链表中。IPFirewall协议深入解析TCP/IP协议和构架我们首先理解一下，TCP/IP体系结构:（1）网络接口层网络接口层，也被称为网络访问层，包括了能使用TCP/IP与物理网络进行通信的协议，它对应OSI的物理层和数据链路层。TCP/IP标准并没有定义具体的网络接口协议。具体的网络接口协议在实际应用的网络如Ethernet、ATM、FDDI、X.25、PPP、Token-Ring等中定义。（2）网络层网络层是在TCP/IP标准中正式定义的第一层。网络层所执行的主要功能是处理来自传输层的分组，将分组形成数据包（IP数据包），并为该数据包进行路径选择，最终将数据包从源主机发送到目的主机，在网络层中，最常用是网络协议IP，其他一些协议用来协助IP的操作。网络层的协议有：IP、ARP、RARP、ICMP、IGMP（3）传输层TCP/IP的传输层也被称为主机至主机层，与OSI的传输层类似，主要负责主机到主机之间的端对端通信，该层使用了两种协议来支持两种数据的传送方法，即TCP协议和UDP协议。（4）应用层在TCP/IP模型中，应用程序接口是最高层，它与OSI模型中的高三层的任务相同用于提供网络服务，比如文件传输、远程登录、域名服务和简单网络管理等。我们的RouterOS中，ipfirewallfilter主要负责的是网络层、传输层和应用层，网络接口层则由bridgefilter负责处理。我们从上面的图看到，在RouterOS的filter规则中，可以找到Protocol...