madlife 发表于 2005-3-14 16:33:20

先看一下input,高手有 空时解析一下其中的意义写以下这些,也是我学习的一个过程,希望高手在看过之后,能指正当中错误ADSL_mtu,mru,mss ip firewall> rule   forward    input   output    virus ip firewall> rule input printFlags: X - disabled, I - invalid, D - dynamic0   ;;; Drop invalid connections   connection-state=invalid action=drop /invalid 病人, 残废者 有病的, 残废的 指drop无效连接/感谢voatec 朋友 1   ;;; Accept established connections   tcp-options=non-syn-only connection-state=established action=accept /同意有效连接/注意tcp-options=non-syn-only在winbox操作中Protocol选为tcp,才能tcp-options选为non-syn-only,选后,将Protocol恢复为all/但是,我确认后,还是无法加入tcp-options=non-syn-only,也许是版本的原因吧倒,我再试了一下,又可以了,我用的是28183-16,晕死,现在用print看时,与这一行一样了,回到winbox,与官方的一样了,怎么设成这样的我都不知。我这么理解这一句,同意除了syn以后的有效连接,这个在对应syn上或许有点用 2   ;;; Accept related connections   connection-state=related action=accept /同意相关连接/ 3   ;;; !!! Check for well-known viruses !!!   action=jump jump-target=virus /这回可真的没有这个功能了,有空用虚拟机装个2822看看,有没有virus选项/ 4   ;;; UDP   protocol=udp action=accept /同意所有的UDP/哈哈,随便写个网站http://www.cnpaf.net/中国协议分析网UDP协议是英文UserDatagramProtocol的缩写,即用户数据报协议,主要用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。 5   ;;; Allow limited pings   protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept /ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 6   ;;; Drop excess pings   protocol=icmp action=drop /5与6,这两句是配合用的,第一个是允许有限制的PING,第二句是对除第一外的另外情况进行阻拦。当然,你可以设定为对所有的PING都阻拦掉。/感谢lzlux朋友 7   ;;; SSH for demo purposes   dst-address=:22 protocol=tcp action=accept8   ;;; Telnet for demo purposes   dst-address=:23 protocol=tcp action=accept9   ;;; http for demo purposes   dst-address=:80 protocol=tcp action=accept 10   ;;; winbox for demo purposes   dst-address=:3987 protocol=tcp action=accept 11   ;;; From Mikrotikls network   src-address=159.148.172.192/28 action=accept 12   ;;; From Mikrotikls network   src-address=10.0.0.0/8 action=accept 13   ;;; Log and drop everything else (log和drop 其他的万物,呵呵,这一句应怎么意译才准确啊,我是这么理解的拒绝其它的所有的,并写入日志。)   action=drop log=yes#经过以上处理后,drop所有,含连接,端口协议等等,并写入log,有了这一句就不难理解前面为什么要accept一些内容与端口(最后一句是不是这样理解,这是关键。)#7-13感谢voatec朋友的指点意思就是允许以下连接:7:通过ssh连接;8:通过telnet连接;9:通过http连接;10:通过winbox连接如果不先加载这几条,那么后面的13 ;;; Log and drop everything elseaction=drop log=yes 这一条就会阻止这些端口,那就无法通过网络管理ros了。

madlife 发表于 2005-3-16 23:37:52

ip firewall rule forward> printFlags: X - disabled, I - invalid, D - dynamic0   ;;; Drop invalid connections   connection-state=invalid action=drop #拒绝无效连接 1   ;;; Established connections   connection-state=established action=accept #同意有效连接 2   ;;; Related connections   connection-state=related action=accept #同意相关连接 3   ;;; !!! Check for well-known viruses !!!   action=jump jump-target=virus #根据virus条件,选择jump,不知是什么版开始,在与input,forward,output一起多了一个virus选项。有时间试一下2822的,如这个也没有,呵呵,只能等到。。。 4   ;;; UDP   protocol=udp action=accept #同意所有的UDP连接,当然除了上面Drop了的 5   ;;; Allow limited pings   protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept6   ;;; Drop excess pings   protocol=icmp action=drop#56两条的意义同input中的解释,防一下恶意的ping

madlife 发表于 2005-3-17 00:11:05

ip firewall> rule output printFlags: X - disabled, I - invalid, D - dynamic0   protocol=tcp tcp-options=syn-only action=drop log=yes ip firewall> #Drop所有的syn的连接这个出现在output中的意义在于控制路由网内的syn的使用

madlife 发表于 2005-3-17 00:17:58

#这是病毒部分,无非就是Drop相关病毒的端口与所有的协议 > /ip firewall rule virus printFlags: X - disabled, I - invalid, D - dynamic0   ;;; Drop Blaster Worm   dst-address=:135-139 protocol=tcp action=drop1   ;;; Drop Messenger Worm   dst-address=:135-139 protocol=udp action=drop2   ;;; Drop Blaster Worm   dst-address=:445 protocol=tcp action=drop3   ;;; Drop Blaster Worm   dst-address=:445 protocol=udp action=drop4   ;;; ________   dst-address=:593 protocol=tcp action=drop5   ;;; ________   dst-address=:1024-1030 protocol=tcp action=drop6   ;;; Drop MyDoom   dst-address=:1080 protocol=tcp action=drop7   ;;; ________   dst-address=:1214 protocol=tcp action=drop8   ;;; ndm requester   dst-address=:1363 protocol=tcp action=drop9   ;;; ndm server   dst-address=:1364 protocol=tcp action=drop 10   ;;; screen cast   dst-address=:1368 protocol=tcp action=drop 11   ;;; hromgrafx   dst-address=:1373 protocol=tcp action=drop 12   ;;; cichlid   dst-address=:1377 protocol=tcp action=drop 13   ;;; Worm   dst-address=:1433-1434 protocol=tcp action=drop 14   ;;; Bagle Virus   dst-address=:2745 protocol=tcp action=drop 15   ;;; Drop Dumaru.Y   dst-address=:2283 protocol=tcp action=drop 16   ;;; Drop Beagle   dst-address=:2535 protocol=tcp action=drop 17   ;;; Drop Beagle.C-K   dst-address=:2745 protocol=tcp action=drop 18   ;;; Drop MyDoom   dst-address=:3127-3128 protocol=tcp action=drop 19   ;;; Drop Backdoor OptixPro   dst-address=:3410 protocol=tcp action=drop 20   ;;; Worm   dst-address=:4444 protocol=tcp action=drop 21   ;;; Worm   dst-address=:4444 protocol=udp action=drop 22   ;;; Drop Sasser   dst-address=:5554 protocol=tcp action=drop 23   ;;; Drop Beagle.B   dst-address=:8866 protocol=tcp action=drop 24   ;;; Drop Dabber.A-B   dst-address=:9898 protocol=tcp action=drop 25   ;;; Drop Dumaru.Y   dst-address=:10000 protocol=tcp action=drop 26   ;;; Drop MyDoom.B   dst-address=:10080 protocol=tcp action=drop 27   ;;; Drop NetBus   dst-address=:12345 protocol=tcp action=drop 28   ;;; Drop Kuang2   dst-address=:17300 protocol=tcp action=drop 29   ;;; Drop SubSeven   dst-address=:27374 protocol=tcp action=drop 30   ;;; Drop PhatBot, Agobot, Gaobot   dst-address=:65506 protocol=tcp action=drop

madlife 发表于 2005-3-17 00:27:04

病毒部分就没什么可解释的了有朋友的贴在精华中了,那有很好的解析了防火墙部分,也就是理解好input,forward,output的关系这个论坛对此都有解释的,我只是整理一下自己所理解的我的E文很差的input控制外界对路由的影响,控制外网的信息forward是控制路由的转发,控制内网的信息output是本人感觉与forward有些类似的啊,还好官方也只有一条控制syn的关于output的,在这个论坛中几乎看到有人谈它,呵呵,那就不管它了这些概念我不能很好的理解output,输出的意思其它的应用还在学习当中。。。本人在此写出这些,是想请高手看了之后,如看出什么不妥之处,请指正

madlife 发表于 2005-3-17 00:36:42

在实际使用不如,我还加了以下两条注意各个规则之间的前后关系。 3src-address=!192.168.0.0/24 protocol=icmp action=drop #drop 除内网外的ping(这里与官网的控制的ping有些程度上的不同) 4src-address=!192.168.0.0/24 action=drop #drop除内网外的连接(现在看来与官方的设置有些重复或冲突)12 ;;; From Mikrotikls networksrc-address=10.0.0.0/8 action=accept 13 ;;; Log and drop everything else action=drop log=yes(官网的这两句我认为可以并为一句:src-address=!10.0.0.0/8 action=drop log=yes不知这样理解对不对的??)在这些之前,我加了外网管理的IP还有,刚才有朋友发的关于syn的,我在考虑怎么结合使用/ ip firewall rule input add protocol=tcp tcp-options=syn-only limit-count=3000 limit-burst=2 limit-time=5s action=accept add protocol=tcp tcp-options=syn-only action=reject 这两句的效果还要看有网友的实际应用,感觉与官方的设置有些重复不知官方的设置对syn的效果怎么样?我理解为官方的设置除了病毒防以外,就是对syn的防了刚才试了一下,如这一句之前action=drop log=yes有了以上两句,这一句将不起作用syn_sent 时间改短一点(这是应付syn的一点思路,来自本论坛)

madlife 发表于 2005-3-17 00:47:26

如果ROS应用在一个无法对客户端电脑进行管理(比如是用于提供上网服务)的网络如网内的电脑有病毒,你又无法与该电脑的主人交流,也就是说,他的电脑你没有权利处理,那人又很垃圾,电脑中都是病毒,smtp之类的这样对ROS的硬件要求就高了,相当于有一台电脑总是在攻击路由syn sent ....我自己管理的一个中心的网络,装了一个ROS,因为内部电脑管理制度严格,我就简单设了一下135-139,135的,加上进来的是100M光纤,我不用对网络进行别的设置就行了,工作很正常我又不知硬件防火是怎么保证网络的防攻击,只想提高ROS的硬件配置能提高本身的病毒抵抗能力。还有,防火墙的设置思路,完全可以根据你的网络的实际需要去配置吧

madlife 发表于 2005-3-17 01:13:55

认真的看完了官方的demo后,感觉E文真他妈的重要如果懂E文就不用花这么长的时间来学习这个了

madlife 发表于 2005-3-17 08:41:35

测试当中引起无法进入winboxneighbour这个软件好东西ros设置错误进不了winbox的几种解决办法http://www.routerclub.com/ipb/index.php?sh...96&hl=neighbour这样是不是可以绑定RouterOS 路由器的ip 防止ip冲突掉线?http://www.routerclub.com/ipb/index.php?sh...22&hl=neighbour因为设错规则导到WINBOX不能连接的解决方法。http://www.routerclub.com/ipb/index.php?sh...22&hl=neighbour 一个E文不行的ROS菜鸟的成长http://www.routerclub.com/ipb/index.php?showtopic=5452&st=0怎么设置记录所有内网机器上网loghttp://www.routerclub.com/ipb/index.php?sh...ic=4796&hl=成长

madlife 发表于 2005-3-17 10:00:28

防火精华action=drop接用win2003的思路什么都关闭,用到什么开放什么sblive简单地说,INPUT是指进入路由的数据。可以看成针对路由本身的。按官方的设置,是开了必要开放的接口和端口,再DROP所有的数据。就是说除了指定开放的可以通过外,别的数据一律DROP,这是一种最安全的策略方法。你也可以不必按官方的设置,其实防火墙很多原理是相通的,天网的也和这个类似。

madlife 发表于 2005-3-17 10:05:00

sblive 发表于: Mar 17 2005, 09:59 AM    ROS的防火墙原则是:先允许必须使用的端口开放,最后再封闭所有端口。这是一种最安全的原则。。收录,以表示感谢

madlife 发表于 2005-3-17 21:50:15

jack_i5 发表于: Mar 17 2005, 06:21 PM    我的建议是:调试阶段可以不用DROP ICMP ,一旦ROS正式进入运行阶段,最好关闭内外两方面的所有ICMP协议响应,也就是不让PING 。这样是有好处的。

jack_i5 发表于 2005-3-17 23:02:37

你学的好认真啊!为你感动!!!!技术就是在这样的不断研究中提高的,我欣赏你作总结性笔记的习惯。希望你能坚持,以后大家多交流

madlife 发表于 2005-3-20 10:38:20

按官方的设置时,我想最好还是加入3986这个端口dst-address=:3986 protocol=tcp action=accept 呵呵不过也无所谓了,出了故障时用telnet进入后停掉最后一句就能用winbox进入了

madlife 发表于 2005-3-20 18:24:24

3 ;;; !!! Check for well-known viruses !!!action=jump jump-target=virus /这回可真的没有这个功能了,有空用虚拟机装个2822看看,有没有virus选项/安装了2822也没有virus这一个选项感谢hzkane朋友提供demo原来是在Filter Chains 增加的可以理解为一个组,有共性的组
页: [1] 2
查看完整版本: 官方的2824的防火墙解析