[原创]routeros防火墙规则设置之我见.

prettywolf

有很多高手在一些贴子谈了如果设置routeros的防火墙以抵御135及冲击波的攻击,
在此我也发表一下我的见解.
我们平时的routerOS是配置用nat共享上网的.
Nat 是为了解决IP地址资源不足而制定,
我们的路由一般都是用这种方式共享上网,
熟悉网络的人都知道NAT的工作原理,
下面我简单说下:
NAT的基本功能是IP及端口转换.
比如说你的路由器的公网地址是202.103.29.40,
内网是:192.168.10.1
网吧里的17号机的IP是192.168.10.17
这台机访问www.163.com这个网站的时候,
路由器在转发这个数据包时候对地址和端口进行了转换,
即自动分配了一个端口,并把这个端口添加到一张NAT转换表中,
其中还有很多细节不一一说了.就比如说分配到30000这个端口吧.
于是www.163.com这个网站接到的数据包的源地址就是:202.103.229.40:30000,
它把客户请求的数据发往202.103.229.40,也就是你的路由的30000这个端口.
路由收到这个数据包后,在NAT表中查询这个端口对应的机(17号),
并把这个数据包转发到17号,这就实现了共享上网.
由于routerOS是基于LINUX核心的,
它没有开放135端口,及冲击波的445,终端服务的3389等专用端口,
所以这些数据不会被接受,而是被抛弃,
外界发往这些端口的数据不会被转发到内部来,
而RouterOS本身也不接受这些数据包.
其实发往路由的其实端口的数据包也是一样.
路由都会在接到的时候检查NAT表,
如果有就转发,没有就丢弃.
所以说我们没有必要在RouterOS中设置规则拦截这些端口的数据包.
这样只会加重路由负担.
防火墙的规则设置可以有效地防止访问某些网站,
也可以设置端口映射等,
当然,也要看情况,IGMP这些有必要的话,也可以过虑.
以上全为个人意见,由于知识有限,请大家多多批评指证.

albert318

我今天设置了防火墙以后，数据大的惊人。。。我最后还是吧规则去掉了。

prettywolf

对也好错她好,
请大家都说说.

Alee

登陆他的DEMO路由，看了些示范，也有屏蔽135、445等这些端口，他们的工程师在故弄玄虚？

wind110

错之，NAT是有什么就给你发什么的，而不是你那样的说法

prettywolf

QUOTE
错之，NAT是有什么就给你发什么的，而不是你那样的说法
冲击波等病毒是在外面主动连接端口的,
NAT转发到那台机?
难道是局域网内所有机?
ADSL单拨号的用户会感染上冲击波,
而来带路由的ADSL MODEM的却不会,
就是因为有NAT的缘故.

prettywolf

前段时间我研究过像QQ一样的点对点连接的编程,
那时很多人也在搞.
外界是无法发信息到内网的某一台机的,除非是内网里面的机主动连接外面的机在先.
外面的机可以任意发信息到内网某一台机,那么就不会有炒得火热的P2P技术了.
如果你内部一台机中了冲击波,
那么你设置那些规则是有好处的,
这样可以防止感染到你局域网外面的用户.
我可以说,冲击波病绝对不可以独自穿透NAT到达局域网内的某一台机,
除非你在NAT中映射了这台机的冲击波专门攻击的几个端口.
我特地请教了我的一位同学,也是搞网络编程的,以下是我们的对话:
(2004-06-03 23:00:50)    prettywolf

在吗?

  

(2004-06-03 23:00:21)    Phafer

在，不过准备熄灯了

(2004-06-03 23:02:01)    prettywolf

NAT是否会丢弃一些数据包,

比如说冲击波过来的,

如果不丢的话,是否会发到内网来?

  

(2004-06-03 23:02:23)    Phafer

NAT原理:



只有内网的主动和外面的机器建立连接后，NAT才允许这部分数据进入

NAT还允许udp通过



(2004-06-03 23:03:35)    prettywolf

UDP通过是到达那里?

所有机?

  

(2004-06-03 23:03:20)    Phafer

不是的，也需要内部的机器主动连接的

(2004-06-03 23:03:51)    Phafer

没有映射表，就算发也没用啊，nat不知道发给谁就丢弃了

(2004-06-03 23:04:55)    prettywolf

有些人在NAT中过滤135端口和冲击波所用端口的数据,我认为不必要,你呢?

  

(2004-06-03 23:05:30)    Phafer

除非内部主动连接外部，否则是不可能进入的

(2004-06-03 23:06:30)    prettywolf

哦.

谢了.洗身罗.

  

(2004-06-03 23:05:58)    Phafer

好的

(2004-06-03 23:10:34)    prettywolf

洗着还是跑出来问一句:

内部不会主动招惹冲击波吧?

  

(2004-06-03 23:08:42)    Phafer

这个很难讲的，中毒的机器可能会主动连接外面的服务器

(2004-06-03 23:09:02)    Phafer

这个就是所谓的反弹原理

(2004-06-03 23:09:21)    Phafer

除非你内部的机器不中毒

==========================================
如果你对NAT的工作原理有比较深入的了解,
你应该不会设置那些防冲击波的规则了.

prettywolf

注意这个:没有映射表，就算发也没用啊，nat不知道发给谁就丢弃了

长通网络

好像不是预防,而是过滤已有中毒的,控制不增加

sblive

ROUTEOS有三层防火墙，分别对应来自网外，路由内，局域网内的控制，比如说，TCP端口：134-139 （其中包抱共享端口）、 445 4444 39213 UDP端口：134-139 （其中包抱共享端口）、 445 4444 39213 这些端口都与冲击波病毒有关，你可以在INPUT中设成全封闭，丢弃封包，在一定程序上可以保证局域网中WIN2K系统的安全。
一句话，这个防火墙设置在一定程序上是可以保卫内网安全的，并不是说可有可无。FORWORD可以在里面封IP，封网站，INPUT可以封住所有外来端口请求等等。
除非你内网机器全是LINUX的，否则有必要开防火墙，虽然开防火墙在一定程序上要损失带宽，不过我认为是值得的。

sdbaby

仅就保护网内机器避免冲击波和震荡波，工作在nat方式的路由封闭135等端口无任何意义

sblive

QUOTE
仅就保护网内机器避免冲击波和震荡波，工作在nat方式的路由封闭135等端口无任何意义
虽然话这么说，但我确实在日志中看到了内网机器IP中的135等端口请求被屏毙了。不管是内网任两台之间的135端口，也包括外网对内网的。

qdcomputer2004

www.sohu.com

专卖精品

楼主的网络比较小就没有必要设置这些，但是，你还是可以在防火墙的链接表里面看见这些连接的，如果非常多的人在连接的话，你的表会浪费很多，如果你设置了过滤，你就看到效果了！