找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: ntjxad

[其它] ros中firewall设置(翻译用户手册)

[复制链接]
发表于 2004-8-4 10:07:08 | 显示全部楼层
又补公网端口映射例子.
basic7.gif
routeros
回复

使用道具 举报

发表于 2004-8-4 10:19:38 | 显示全部楼层
又补IP端口映射:例如:将ROUTER OS路由器的公网IP 10.0.0.27 的80映射到内网服务器的IP 192.168.0.4上的所有端口(即:0-65535端口),这样网外的IP就可以在全球任何一个可以上网的地方访问你的内部服务器了。具体如下:admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \\... dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4[admin@MikroTik] ip firewall dst-nat> printFlags: X - disabled, I - invalid  0   src-address=0.0.0.0/0:0-65535 in-interface=all      dst-address=10.0.0.217/32:80 protocol=tcp icmp-options=any:any flow=""      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0      limit-burst=0 limit-time=0s action=nat to-dst-address=192.168.0.4      to-dst-port=0-65535[admin@MikroTik] ip firewall dst-nat>
routeros
回复

使用道具 举报

发表于 2004-8-4 10:28:26 | 显示全部楼层
又补,拒绝所有源地址访问所有目的地址的TCP 8080端口的一个例子:admin@MikroTik] ip firewall rule input> add dst-port=8080 protocol=tcp action=reject[admin@MikroTik] ip firewall rule input> printFlags: X - disabled, I - invalid  0   src-address=0.0.0.0/0:0-65535 in-interface=all      dst-address=0.0.0.0/0:8080 out-interface=all protocol=tcp      icmp-options=any:any tcp-options=any connection-state=any flow=""      sconnection="" content="" rc-mac-address=00:00:00:00:00:00 limit-count=0      limit-burst=0 limit-time=0s action=reject log=no[admin@MikroTik] ip firewall rule input>
routeros
回复

使用道具 举报

 楼主| 发表于 2004-8-4 10:43:26 | 显示全部楼层
谢谢楼上的兄弟补充.
routeros
回复

使用道具 举报

发表于 2004-8-4 10:48:59 | 显示全部楼层
ROUTER OS论坛,我们的家园,希望大家一起来完善她.
routeros
回复

使用道具 举报

发表于 2004-8-4 11:02:23 | 显示全部楼层
ROUTER OS的防火墙原理图该放在这里:
post_9_1091516589.png
routeros
回复

使用道具 举报

发表于 2004-8-4 18:05:23 | 显示全部楼层
我说明一下三大项的作用:我的路由器网卡情况为:ether1 是内网网卡(lodal即本地的,IP为:172.18.60.1) ether2是外网网卡,IP为61.233.183.11. in为数据包流进来,out数据包流出去.1、INPUT 是外网筛选器。例如:一个公网IP如 61.202.33.55 (源地址)连入我的路由器即公网IP 61.233.183.11(目的地址),在IINPUT 外网筛选器里为这样表示: (local) out, (ether2) in ,accept(接受).2、FORWARD是内筛选器。例如: 丢弃一个内网IP如 172.18.62.3(源地址) 连接到外网如 IP 为202.103.224.33(目的地址)的所有数据包 ,在FORWARD内筛选器表示为:(ether1) in, (ether2) out ,drop 3、OUTPUT 是应用网关。例如源地址只能为路由器的IP 61.233.183.11或172.18.60.1 连到 内网IP 172.18.60.33 (目的地址) ,在OUTPUT 应用网关表示为 local (in), ether1 (out). accept 通过以上说明,我想大家会用 ROUTER OS的 防火墙了. 0.0.0.0/0表示所有电脑,如果在 NOT 里打钩输入例如: 172.18.60.0/24 表示所有的电脑但172.18.60.0-255 这个段的电脑除外.也可以为一个单独的IP.172.18.60.33/32, 表示一个单独的IP, DROP 为丢弃, ACCEPT 为 接受, REJECT 为拒绝,JUMP 是跳到下一个规则其它的自己看看.如有不对之处请大家指正.
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-22 01:41 , Processed in 0.049006 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表