查看: 110|回复: 1

[RouterOS] 普及贴:防火墙重要名词

[复制链接]

主题

好友

567

积分

中尉

签到天数: 35 天

[LV.5]常住居民I

发表于 2016-9-19 17:27 |显示全部楼层
Anywlan微信公众号
本帖最后由 用易-小卢 于 2016-9-19 17:28 编辑 + L, J) a: n. @9 _8 C

  P# ?/ o% t& N& T  f, {
1.input:    进入路由器,是指发往routeros自己的数据(也就是目的iprouteros接口中的一个ip地址)
2.output: 从路由器出发,是指从routeros发出去的数据(也就是数据包源iprouteros接口中的一个ip地址)
3.forward: 经路由转发中是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去
5.prerouting: 路由之前,就是说,在数据包进入路由表之间的链表或解为:进路由前处理
在设置mangelprerouting 后选 src-address=IPsrc-address就是在路由前的地址处理的效果
6.Postrouting: 路由之后,就是数据包已经确立了路由之后的链表或解为:出路由后处理
在设置mangelPostrouting后选 dst-address=IP dst-address就是在路由后的地址的得理效果
7.passthroughacceptrejectdrop的区别:
Passthrough解为:passthrough的规则执行后,还可以进入下一条规则
Accept       解为:accept之后的数据包,不会在进入下一条规则。
• accept - accept the packetapplying the appropriate attributes (marks, MSS), and no more rules areprocessed in the list
• passthrough - apply theappropriate attributes (marks, MSS), and go on to the next rule
更详细解释为:
accept
/ w8 _$ P( E9 \/ L- k6 k& T0 `* S
解释为接受:引申意思就是接受检查,所以检查完了也就完了——即不再继续检查了& Y5 g/ \8 U% `
ROS解释就是,当符合条件后就不再执行下一条检查了——已经算拿到了通行证!
passthrough解释为机器转移归向,通过如果你查一下流体方面的词典,(计算机的网络同样是处理流体的数据流)你会发现大部分的解释是旁通,其引申意思是不做处理,因此还要继续检查
ROS来解释就是,这个先让它过,但有可能还要接受后面的检查——谁让你走后门,不按规矩拿通行证呢!
reject拒绝, 抵制, 否决, 呕出, 驳回, 丢弃
drop使结束, 不再讨论, 停止与(某人)交往
这两个一起讨论,当你追一个
/ P2 ~4 W! _9 I0 p6 h1 L- [
MM失败的时候通常就有两种情况:" c0 w# z% p8 \9 c# ~
1种、对方立刻说:不行,我有男朋友了,而且下月就结婚,哈哈,你仍有非常渺茫的希望
; P/ _8 p- f: t! T# ?% x% g9 O% V+ P
2种、对方干脆连理都懒得理你,这表示你根本没戏!
3 s2 k; Q  T5 w0 H1 e& Y& b0 ^
5 g4 F, q7 U, |, aROS
的解释:
1 b6 ^6 ^$ g4 s3 Z
reject拒绝, 抵制, 否决, 驳回,相当于第1种情况,明确告诉你,另选名花吧,ROS是通过ICMP消息通知被拒绝的
drop使结束, 不再讨论, 相当于第2种情况,没有明确通知,不理你,就看你的自知之名了。。。哈哈
虽然都是将包丢弃,但态度是不一样的,前者通常用于对完全控制的内部网络,如企业中,可以以这种方式通知分公司的管理员,这样的网络访问是公司规定禁止的。
而后者针对的是不可预知的网络,尤其是黑客机器的包,如果漠不作声,对方就有可能不会发现你的存在,从而不会产生非分之想了

" b/ D) a$ e. Z5 Z9 }7 `0 O
Manglevt.乱砍, 撕裂, 破坏, 毁损, 损坏, 轧布,我理解为:把数据重新修改后包装处理与标记mark-routing
这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是 TOSTTLMARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。

" G1 p: A- h: [
' f/ ]: C3 h( g# T
另一些小记:
RoutreOS的服务开与关倒过来:/toolbandwidth-server set enabled=no  

% r& Q2 {6 b" J  [1 q
Src-addressdst-address in-interface out-interface 解释与实际应用区别
说明:映射与数据流是同一方向时,禁止Action=Drop才算生效!
src-address 发送数据的IP地址/或数据将出发的IP地址
dst-address  接收数据的IP地址/或数据将到达的IP地址
in-interface  进入的网卡    out-interface 出去的网卡
测试环境:内网机器号为192.168.0.6,然后从此机器ping61.144.56.101,与radmin外网访问内网0.6
          外网Home机器是VPN拨入,并远程radmin  0.6号机。
一.当src-address=192.168.0.6,选择inout和选择neiwai将产生的情况如下:
1.src-address=192.168.0.6     in-interface=nei         ping     radmin
ip firewall filter add chain=forward src-address=192.168.0.6 in-interface=nei action=drop
- u' }/ X, `  Z) I& C. N: h" H  R" s- P8 S+ r- m4 }) ]

  v0 i5 I/ X* I$ ?/ S) D
2. src-address=192.168.0.6     in-interface=wai        ping
ipfirewall filter add chain=forward src-address=192.168.0.6 in-interface=wai action=drop

. {7 h* y$ @- c' G! z1 K! t) S3 o( N
3.src-address=192.168.0.6       out-interface=nei      ping           radmin
ip firewall filter add chain=forward src-address=192.168.0.6out-interface=nei action=drop

3 u% u8 O+ }9 J# g
4. src-address=192.168.0.6        out-interface=wai       ping          radmin
- r% N% b2 Y# n( k; a0 @6 M
ipfirewall filter add chain=forward src-address=192.168.0.6 out-interface=waiaction=drop
0 G3 ]9 ^  z( B8 R: h
二.当DST-address=192.168.0.6,选择inout和选择neiwai将产生的情况如下:
1. dst-address=192.168.0.6        in-interface=nei        ping
ip firewall filter add chain=forward dst-address=192.168.0.6 in-interface=nei action=drop
( m/ S+ `6 N2 c# N  ^
2. dst-address=192.168.0.6      in-interface=wai       ping        radmin
ip firewall filter add chain=forwarddst-address=192.168.0.6 in-interface=waiaction=drop
: o8 ?# d9 {: N! o6 O  V0 T9 b

& s! k# p! E5 C1 p4 }+ \0 I5 _

( T! K" }1 y" @4 C+ d# p, [; R
3. dst-address=192.168.0.6      out-interface=nei       ping       radmin
ip firewall filter add chain=forwarddst-address=192.168.0.6 out-interface=nei action=drop
% k% [+ ~) N2 D# ^
4 |1 \& ~6 j" D1 O; K
0 B: \1 _9 C) B  c1 c: ?
1 {+ |8 V0 C4 x( d/ q2 u+ z" T. Y
4. dst-address=192.168.0.6      out-interface=wai      ping     radmin

  a/ G* T% x, J1 c- x
ipfirewall filter add chain=forward dst-address=192.168.0.6 out-interface=waiiaction=drop
3 a, ^% f5 H1 C5 r2 Z9 i
1 m6 f3 G! Q# b- l8 N1 j# A1 R

& W  |. j% u2 n3 L5 K# A
2 Y. n2 ^: ?3 C1 z$ U# i2 t/ K, ^( f$ k, K/ Y
  |* o  W! A  H9 a9 t6 Z% U1 h
4 x7 w( E0 ^" R) i0 M( [

) h; q1 l( m& X
最后总结:箭头方向如果到达同一位置,即pingradmin都不通。

主题

好友

7906

积分

中校

签到天数: 794 天

[LV.10]以坛为家III

发表于 2016-9-19 18:13 |显示全部楼层
好东西,ros的名词确实有时候很难理解
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-10-21 02:02

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表