您的位置:360文档中心› ROS菜鸟系列4--简单路由策略实现

ROS菜鸟系列4--简单路由策略实现

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ROS的filter规则等同于华为或者思科的ACL规则,安装好的ROS系统,在初始情况下,默认的防火规则有三种:input,output,forward三种链。简单说一下每一种的作用:input是指作用于所有去访问路由器本身的数据流,output是指作用于从路由器本身发出或者回应给其他访问的数据流,forward是指作用于通过路由器转发的数据流,主要是用于过滤内网用户与外网的数据交互。

;}$X&K L F:M9g_(y%t

0Q%{(j!t'e举些简单的应用例子:

"X6}+{/O(Y'z;a

1)假定不允许从IP地址是192.168.1.100的机器登录路由器:

/^*@%C.\5P;e

[admin@MikroTik] > ip

:V,c0\8j*U5L&`

[admin@MikroTik] /ip> firewall filter

,J6S2r D!;I'~&1$P

[admin@MikroTik] /ip firewall filter> add chain=input src-address=192.168.1.100 action=drop

4k'X)x#a h-}, [admin@MikroTik] /ip firewall filter> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=input action=drop src-address=192.168.1.100

d.{:e!X#@1W"j(m-O

2)假定不允许路由器回应外网用户的PING探测:

"f3h5X.x![+U:u8Z v S4N

[admin@MikroTik] /ip firewall filter> add chain=output protocol=icmp out-interface=wan icmp-options=0 action=drop

[admin@MikroTik] /ip firewall filter> print

Flags: X - disabled, I - invalid, D - dynamic

8_!u*k&}0l

0 chain=input action=drop src-address=192.168.1.100

1 chain=output action=drop protocol=icmp out-interface=wan

icmp-options=0:0-255

解释相关的部分参数:protocol参数是指选择的协议,如TCP,UDP,ICMP等。icmp-options意思是指ICMP的选项,代码0表示:echo replay。

3)假定禁止内网的机器使用192.168.1.200-192.168.1.220的IP地址访问外部网络

&w0J3j v.C x,

[admin@MikroTik] /ip firewall filter> add chain=forward src-address=192.168.1.200-

192.168.1.220 action=drop

6o)n%w.a-V*b

[admin@MikroTik] /ip firewall filter> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=input action=drop src-address=192.168.1.100

4}1L)T6O B^3t'r!7k

1 chain=output action=drop protocol=icmp out-interface=wan

:{1H!@"%w9f

icmp-options=0:0-255

2 chain=forward action=drop src-address=192.168.1.200-192.168.1.220

$K z#d&t"y8l1r

4)假定要实现防止外部网络使用TCP连接攻击路由器本身

.Z Q9`2h3e,g1R

[admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp connection-limit=5,32 action=add-src-to-address-list address-list=black-address address-list-timeout=1d

0}K5X#w:)H [admin@MikroTik] /ip firewall filter> add chain=input src-address-list=black-address

action=drop

~%k.?7]&D!i$w2q'y,

[admin@MikroTik] /ip firewall filter> print

;D0c9}7Z4X%m)|#V

Flags: X - disabled, I - invalid, D - dynamic

0 chain=input action=drop src-address=192.168.1.100

:t'i/?&}%n3q"m

1 chain=output action=drop protocol=icmp out-interface=wan

icmp-options=0:0-255

;x2y)N-q%6D

2 chain=forward action=drop src-address=192.168.1.200-192.168.1.220

!b8S3g)s&]

3 chain=input action=add-src-to-address-list protocol=tcp

7[+y.a2|C#M/

address-list=black-address address-list-timeout=1d

connection-limit=5,32

1u6D(`9}$O2@5N-n'*F G

4 chain=input action=drop src-address-list=black-address

"A&j,3a'\

以上的功能实现也可以利用filter与mangle相互配合使用:

4v!O3m5F6H

[admin@MikroTik] /ip firewall filter> ..

[admin@MikroTik] /ip firewall> mangle

7e;L*N)E|/j,_8A2P&J

[admin@MikroTik] /ip firewall mangle> add chain=input protocol=tcp connection-limit=5,32 action=add-src-to-address-list address-list=black-address address-list-timeout=1d

相关文档
最新文档