全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ROS的filter规则等同于华为或者思科的ACL规则,安装好的ROS系统,在初始情况下,默认的防火规则有三种:input,output,forward三种链。简单说一下每一种的作用:input是指作用于所有去访问路由器本身的数据流,output是指作用于从路由器本身发出或者回应给其他访问的数据流,forward是指作用于通过路由器转发的数据流,主要是用于过滤内网用户与外网的数据交互。举些简单的应用例子:1)假定不允许从IP地址是192.168.1.100的机器登录路由器:adminMikroTik ipadminMikroTik /ip firewall filteradminMikroTik /ip firewall filter add chain=input src-address=192.168.1.100 action=dropadminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop src-address=192.168.1.1002)假定不允许路由器回应外网用户的PING探测:adminMikroTik /ip firewall filter add chain=output protocol=icmp out-interface=wan icmp-options=0 action=drop adminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop src-address=192.168.1.100 1 chain=output action=drop protocol=icmp out-interface=wan icmp-options=0:0-255 解释相关的部分参数:protocol参数是指选择的协议,如TCP,UDP,ICMP等。icmp-options意思是指ICMP的选项,代码0表示:echo replay。3)假定禁止内网的机器使用192.168.1.200-192.168.1.220的IP地址访问外部网络adminMikroTik /ip firewall filter add chain=forward src-address=192.168.1.200-192.168.1.220 action=dropadminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop src-address=192.168.1.100 1 chain=output action=drop protocol=icmp out-interface=wan icmp-options=0:0-255 2 chain=forward action=drop src-address=192.168.1.200-192.168.1.220 4)假定要实现防止外部网络使用TCP连接攻击路由器本身adminMikroTik /ip firewall filter add chain=input protocol=tcp connection-limit=5,32 action=add-src-to-address-list address-list=black-address address-list-timeout=1d adminMikroTik /ip firewall filter add chain=input src-address-list=black-address action=drop adminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop src-address=192.168.1.100 1 chain=output action=drop protocol=icmp out-interface=wan icmp-options=0:0-255 2 chain=forward action=drop src-address=192.168.1.200-192.168.1.220 3 chain=input action=add-src-to-address-list protocol=tcp address-list=black-address address-list-timeout=1d connection-limit=5,32 4 chain=input action=drop src-address-list=black-address 以上的功能实现也可以利用filter与mangle相互配合使用:adminMikroTik /ip firewall filter .adminMikroTik /ip firewall mangle adminMikroTik /ip firewall mangle add chain=input protocol=tcp connection-limit=5,32 action=add-src-to-address-list address-list=black-address address-list-timeout=1dadminMikroTik /ip firewall mangle printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=add-src-to-address-list protocol=tcp address-list=black-address address-list-timeout=1d connection-limit=5,32 adminMikroTik /ip firewall mangle .adminMikroTik /ip firewall filteradminMikroTik /ip firewall filter add chain=input src-address-list=black-address action=drop adminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop src-address-list=black-address 解释一下相关部分参数:action=add-src-to-address-list意思是把引起超过限制连接数的源地址提取出来,放入名称为black-address 的地址列表中。address-list-timeout参数的意思是放进black-address 地址列表中的IP地址在多久后释放出来。connection-limit参数是配置连接数的限制,connection-limit=5,32 参数中5代表5个连接数,32是指IP地址的子网掩码,意思是每一个来访问路由器的源地址同时只允许最多建立5个TCP连接数。filter规则的默认执行顺序是从上往下的顺序执行,在执行的过程中可以对规则的action参数相关配置对执行顺序作跳转,如跳转到用户自定义的链执行完了会再返回原来的序列往下执行。5)假定为了抑制ICMP包攻击,设定对转发和路由本身的对ICMP的请求及回应的ICMP包数据进行限定adminMikroTik /ip firewall filter add chain=icmp protocol=icmp icmp-options=0 limit=5,32 action=accept adminMikroTik /ip firewall filter add chain=icmp protocol=icmp icmp-options=8limit=5,32 action=accept adminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=icmp action=accept protocol=icmp icmp-options=0:0-255 limit=5,32 1 chain=icmp action=accept protocol=icmp icmp-options=8:0-255 limit=5,32 解释一下相关部分参数: chain=icmp意思是建立自定义的链ICMPadminMikroTik /ip firewall filter add chain=input protocol=icmp action=jump jump-target=icmpadminMikroTik /ip firewall filter add chain=forward protocol=icmp action=jump jump-target=icmp adminMikroTik /ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=icmp action=accept protocol=icmp icmp-options=0:0-255 limit=5,32 1 chain=icmp action=accept protocol=icmp icmp-options=8:0-255 limit=5,32 2 chain=input action=jump jump-target=icmp protocol=icmp 3 chain=forward action=jump jum
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年互动式网上教育项目可行性研究报告及总结分析
- 2025年环保行业数字化环境监测平台实施方案
- 2025年人工智能行业金融科技中人工智能在信贷评估中的应用案例研究报告及未来发展趋势
- 2025年老年护理智能系统可行性研究报告及总结分析
- 2025年3D视觉识别技术在安防中的应用项目可行性研究报告及总结分析
- 2025年交互式电子游戏开发项目可行性研究报告及总结分析
- 注册护资聘用合同范本
- 设备回收采购合同范本
- 阅读交流会演讲稿
- 涂料经销合同协议书
- 微电网技术课件
- 福建三基考试试题及答案
- 2025年专升本c语言程序设计试题及答案
- 化工生产过程常用经济评价指标化工基本生产技术53课件
- 妊娠合并肥胖诊断标准
- 羊水过多护理
- 银行柜面操作风险案例培训
- 护理应聘个人展示
- 电磁学试题与答案
- 2025至2030中国药物离子电渗仪行业产业运行态势及投资规划深度研究报告
- 团队经营管理课件
评论
0/150
提交评论