luodahua
发表于 2004-8-4 10:07:08
又补公网端口映射例子.
luodahua
发表于 2004-8-4 10:19:38
又补IP端口映射:例如:将ROUTER OS路由器的公网IP 10.0.0.27 的80映射到内网服务器的IP 192.168.0.4上的所有端口(即:0-65535端口),这样网外的IP就可以在全球任何一个可以上网的地方访问你的内部服务器了。具体如下:admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \\... dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4 ip firewall dst-nat> printFlags: X - disabled, I - invalid0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=10.0.0.217/32:80 protocol=tcp icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=nat to-dst-address=192.168.0.4 to-dst-port=0-65535 ip firewall dst-nat>
luodahua
发表于 2004-8-4 10:28:26
又补,拒绝所有源地址访问所有目的地址的TCP 8080端口的一个例子:admin@MikroTik] ip firewall rule input> add dst-port=8080 protocol=tcp action=reject ip firewall rule input> printFlags: X - disabled, I - invalid0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=0.0.0.0/0:8080 out-interface=all protocol=tcp icmp-options=any:any tcp-options=any connection-state=any flow="" sconnection="" content="" rc-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=reject log=no ip firewall rule input>
ntjxad
发表于 2004-8-4 10:43:26
谢谢楼上的兄弟补充.
luodahua
发表于 2004-8-4 10:48:59
ROUTER OS论坛,我们的家园,希望大家一起来完善她.
luodahua
发表于 2004-8-4 11:02:23
ROUTER OS的防火墙原理图该放在这里:
luodahua
发表于 2004-8-4 18:05:23
我说明一下三大项的作用:我的路由器网卡情况为:ether1 是内网网卡(lodal即本地的,IP为:172.18.60.1) ether2是外网网卡,IP为61.233.183.11. in为数据包流进来,out数据包流出去.1、INPUT 是外网筛选器。例如:一个公网IP如 61.202.33.55 (源地址)连入我的路由器即公网IP 61.233.183.11(目的地址),在IINPUT 外网筛选器里为这样表示: (local) out, (ether2) in ,accept(接受).2、FORWARD是内筛选器。例如: 丢弃一个内网IP如 172.18.62.3(源地址) 连接到外网如 IP 为202.103.224.33(目的地址)的所有数据包 ,在FORWARD内筛选器表示为:(ether1) in, (ether2) out ,drop 3、OUTPUT 是应用网关。例如源地址只能为路由器的IP 61.233.183.11或172.18.60.1 连到 内网IP 172.18.60.33 (目的地址) ,在OUTPUT 应用网关表示为 local (in), ether1 (out). accept 通过以上说明,我想大家会用 ROUTER OS的 防火墙了. 0.0.0.0/0表示所有电脑,如果在 NOT 里打钩输入例如: 172.18.60.0/24 表示所有的电脑但172.18.60.0-255 这个段的电脑除外.也可以为一个单独的IP.172.18.60.33/32, 表示一个单独的IP, DROP 为丢弃, ACCEPT 为 接受, REJECT 为拒绝,JUMP 是跳到下一个规则其它的自己看看.如有不对之处请大家指正.