查看: 60|回复: 1

[RouterOS] 普及贴:防火墙重要名词

[复制链接]

主题

好友

561

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-9-19 17:27 |显示全部楼层
TG-NET
Anywlan微信公众号
本帖最后由 用易-小卢 于 2016-9-19 17:28 编辑 % S4 {# j7 N$ ^8 m

9 R3 H( \1 N$ W/ u& N) V1 D/ v6 q4 t, m
1.input:    进入路由器,是指发往routeros自己的数据(也就是目的iprouteros接口中的一个ip地址)
2.output: 从路由器出发,是指从routeros发出去的数据(也就是数据包源iprouteros接口中的一个ip地址)
3.forward: 经路由转发中是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去
5.prerouting: 路由之前,就是说,在数据包进入路由表之间的链表或解为:进路由前处理
在设置mangelprerouting 后选 src-address=IPsrc-address就是在路由前的地址处理的效果
6.Postrouting: 路由之后,就是数据包已经确立了路由之后的链表或解为:出路由后处理
在设置mangelPostrouting后选 dst-address=IP dst-address就是在路由后的地址的得理效果
7.passthroughacceptrejectdrop的区别:
Passthrough解为:passthrough的规则执行后,还可以进入下一条规则
Accept       解为:accept之后的数据包,不会在进入下一条规则。
• accept - accept the packetapplying the appropriate attributes (marks, MSS), and no more rules areprocessed in the list
• passthrough - apply theappropriate attributes (marks, MSS), and go on to the next rule
更详细解释为:
accept7 d: b% s6 R: j. Y! |
解释为接受:引申意思就是接受检查,所以检查完了也就完了——即不再继续检查了# u! I; w$ x+ A- C
ROS解释就是,当符合条件后就不再执行下一条检查了——已经算拿到了通行证!
passthrough解释为机器转移归向,通过如果你查一下流体方面的词典,(计算机的网络同样是处理流体的数据流)你会发现大部分的解释是旁通,其引申意思是不做处理,因此还要继续检查
ROS来解释就是,这个先让它过,但有可能还要接受后面的检查——谁让你走后门,不按规矩拿通行证呢!
reject拒绝, 抵制, 否决, 呕出, 驳回, 丢弃
drop使结束, 不再讨论, 停止与(某人)交往
这两个一起讨论,当你追一个
" z; `5 H+ u4 l' i
MM失败的时候通常就有两种情况:
( U/ q9 M' M. K* ~5 t# K
1种、对方立刻说:不行,我有男朋友了,而且下月就结婚,哈哈,你仍有非常渺茫的希望- [1 I9 n9 X! f; w, C- u' X! S
2种、对方干脆连理都懒得理你,这表示你根本没戏!
& i9 G, `8 I9 K6 Q- j  W
  ~' m! `4 S# }4 b7 G1 Y! B' Z/ o+ L) uROS
的解释:
6 x' m1 f# T! I: Z/ q2 R- p* X
reject拒绝, 抵制, 否决, 驳回,相当于第1种情况,明确告诉你,另选名花吧,ROS是通过ICMP消息通知被拒绝的
drop使结束, 不再讨论, 相当于第2种情况,没有明确通知,不理你,就看你的自知之名了。。。哈哈
虽然都是将包丢弃,但态度是不一样的,前者通常用于对完全控制的内部网络,如企业中,可以以这种方式通知分公司的管理员,这样的网络访问是公司规定禁止的。
而后者针对的是不可预知的网络,尤其是黑客机器的包,如果漠不作声,对方就有可能不会发现你的存在,从而不会产生非分之想了
' m- @& E9 t1 @' ^, e$ K# N5 i
Manglevt.乱砍, 撕裂, 破坏, 毁损, 损坏, 轧布,我理解为:把数据重新修改后包装处理与标记mark-routing
这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是 TOSTTLMARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。

7 N8 c, e2 ^4 g, y% |8 ]# q7 J$ T/ G6 s* b" r5 d3 \9 h$ x
另一些小记:
RoutreOS的服务开与关倒过来:/toolbandwidth-server set enabled=no  
$ K$ a6 t* }4 k! Q9 w* K% D
Src-addressdst-address in-interface out-interface 解释与实际应用区别
说明:映射与数据流是同一方向时,禁止Action=Drop才算生效!
src-address 发送数据的IP地址/或数据将出发的IP地址
dst-address  接收数据的IP地址/或数据将到达的IP地址
in-interface  进入的网卡    out-interface 出去的网卡
测试环境:内网机器号为192.168.0.6,然后从此机器ping61.144.56.101,与radmin外网访问内网0.6
          外网Home机器是VPN拨入,并远程radmin  0.6号机。
一.当src-address=192.168.0.6,选择inout和选择neiwai将产生的情况如下:
1.src-address=192.168.0.6     in-interface=nei         ping     radmin
ip firewall filter add chain=forward src-address=192.168.0.6 in-interface=nei action=drop6 B7 Z/ m: u( Z) b2 g3 k
! C- w7 y) J" o

: R1 R; ^$ L; |1 }3 L
2. src-address=192.168.0.6     in-interface=wai        ping
ipfirewall filter add chain=forward src-address=192.168.0.6 in-interface=wai action=drop
% t* G. b7 v1 i
3.src-address=192.168.0.6       out-interface=nei      ping           radmin
ip firewall filter add chain=forward src-address=192.168.0.6out-interface=nei action=drop

9 o7 {- |5 `$ s9 Y
4. src-address=192.168.0.6        out-interface=wai       ping          radmin
% {' a  X. _' Z/ ~
ipfirewall filter add chain=forward src-address=192.168.0.6 out-interface=waiaction=drop
" b4 m, S2 A0 [/ Y, R) c
二.当DST-address=192.168.0.6,选择inout和选择neiwai将产生的情况如下:
1. dst-address=192.168.0.6        in-interface=nei        ping
ip firewall filter add chain=forward dst-address=192.168.0.6 in-interface=nei action=drop
4 \; a. L: H, r" z/ P' [
2. dst-address=192.168.0.6      in-interface=wai       ping        radmin
ip firewall filter add chain=forwarddst-address=192.168.0.6 in-interface=waiaction=drop
5 l! I2 z, Y1 L* t& n. S
) K! h; u; U! a8 |( B8 h# q

& T# `0 R. B/ M5 X+ v) U" u. H
3. dst-address=192.168.0.6      out-interface=nei       ping       radmin
ip firewall filter add chain=forwarddst-address=192.168.0.6 out-interface=nei action=drop

/ F1 q. C; o" ~$ ]% J' N; y7 v
6 K$ P+ I4 \3 |5 n3 ]" m" j9 Z6 [4 \3 S. `6 z, h0 w% @
! ]5 n( X/ B3 u1 P8 [# F3 ?5 S
4. dst-address=192.168.0.6      out-interface=wai      ping     radmin
; e, E+ P  ~# E4 G7 j
ipfirewall filter add chain=forward dst-address=192.168.0.6 out-interface=waiiaction=drop

# N4 W0 J1 S) Q+ `6 [' X8 m' \. G% B. ?9 J
* T% J! f2 }2 }% y9 D

2 b+ Q2 N0 z# N
6 F3 m* L1 ]; d5 t) R
% u" H. p' q. Z1 x  V7 w
, _1 h6 W1 J+ s1 v5 r5 H. ]" U+ U; ]) E
/ K- t) G/ A! G2 h8 |1 a( a3 j
( B% Y6 U1 k! v' n- Q
最后总结:箭头方向如果到达同一位置,即pingradmin都不通。

主题

好友

5167

积分

中校

签到天数: 528 天

[LV.9]以坛为家II

发表于 2016-9-19 18:13 |显示全部楼层
好东西,ros的名词确实有时候很难理解
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2016-12-3 02:03

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表