本人自用防火墙,欢迎拍砖!
本帖最后由 adslcool 于 2009-11-14 22:46 编辑本人自用防火墙,欢迎拍砖!
看了默认的108家ROS测试防火墙,有点看不下去了! 以后少拿垃圾东西来忽悠大众!
现给出本版自用防火墙,欢迎拍砖!
先给出防火墙部分,没什么神秘的就几条!那么说明一下,免得你不会用出了问题回来找麻烦
input
重点在这里,先把扫描路由端口的IP统统加入黑名单,然后拒绝黑名单任何连接;再跳转到ICMP链表做一些限制,防止Ping攻击之类的;再跳转到services 链表(注意这里只有连接Winbox和DNS的53端口是默认允许的而且是192.168.0.0/16根据自己实际情况修改,其它常用的路由服务端口默认关闭,如果你需要其它服务,请打开,都写上注释了),最后拒绝所有连接!
output
没什么可说的,路由器不会中病毒,也不会无缘无故输出什么没用数据!也没什么策略!
forward
通过的连接,意思就是从客户机和外网之间的那些连接了!
也没什么需要设置的了(因为如果外网想攻击内网IP那是不可能的,因为只有防火墙暴露在公网,也就没有目标了)!
input除我们允许的服务端口外,都关闭了,攻击软件也没什么可乘之机了!服务端口也有策略有条件限制!
这个防火墙默认只打开了,8291(winbox) TCP53(DNS) UDP53(DNS) 而且只有内网才能访问!
如果你还是害怕有人从内网攻击这几个端口,那么我建议 winbox干脆指定一个IP,DNS嘛,所有客户机都用得,你关闭了,用公网的得了!
铜墙铁壁已经构成了,安心去睡觉吧!
[ 专业飘过,思路不错。 # nov/14/2009 14:05:45 by RouterOS 4.0beta2
# software id = NNFT-86N
# By Mr.Wang QQ:165306921
偶用的2.9.27不知道能否兼容使用?收藏保存! # nov/14/2009 14:05:45 by RouterOS 4.0beta2
# software id = NNFT-86N
# By Mr.Wang QQ:165306921
偶 ...
lcgjk 发表于 2009-11-15 15:17 http://bbs.routerclub.com/images/common/back.gif
没问题! 下载了,学习学习。谢谢! 下了,谢谢版主 谢谢! 不错···留个记号先 好东西,顶楼主一下。 :victory: 学习了,顶一个 有什么不同之处 回复 12# WGHBOY
一样,都是防火墙,不过严格了点! 我的就比较简单了,在input链drop非白名单并且Connection State=new的连接。然后改个telnet端口,然后一条规则把telent来的IP加进白名单。这个telnet端口就相当于了个密码,不先telnet上来的话,是没法连接路由器的。呵呵。 至于forward和output,开启NAT的情况下,几乎用不到。
页:
[1]
2