找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 6086|回复: 13

[其它] [原创]routeros防火墙规则设置之我见.

[复制链接]
发表于 2004-6-3 15:03:24 | 显示全部楼层
有很多高手在一些贴子谈了如果设置routeros的防火墙以抵御135及冲击波的攻击,
在此我也发表一下我的见解.
我们平时的routerOS是配置用nat共享上网的.
Nat 是为了解决IP地址资源不足而制定,
我们的路由一般都是用这种方式共享上网,
熟悉网络的人都知道NAT的工作原理,
下面我简单说下:
NAT的基本功能是IP及端口转换.
比如说你的路由器的公网地址是202.103.29.40,
内网是:192.168.10.1
网吧里的17号机的IP是192.168.10.17
这台机访问www.163.com这个网站的时候,
路由器在转发这个数据包时候对地址和端口进行了转换,
即自动分配了一个端口,并把这个端口添加到一张NAT转换表中,
其中还有很多细节不一一说了.就比如说分配到30000这个端口吧.
于是www.163.com这个网站接到的数据包的源地址就是:202.103.229.40:30000,
它把客户请求的数据发往202.103.229.40,也就是你的路由的30000这个端口.
路由收到这个数据包后,在NAT表中查询这个端口对应的机(17号),
并把这个数据包转发到17号,这就实现了共享上网.
由于routerOS是基于LINUX核心的,
它没有开放135端口,及冲击波的445,终端服务的3389等专用端口,
所以这些数据不会被接受,而是被抛弃,
外界发往这些端口的数据不会被转发到内部来,
而RouterOS本身也不接受这些数据包.
其实发往路由的其实端口的数据包也是一样.
路由都会在接到的时候检查NAT表,
如果有就转发,没有就丢弃.
所以说我们没有必要在RouterOS中设置规则拦截这些端口的数据包.
这样只会加重路由负担.
防火墙的规则设置可以有效地防止访问某些网站,
也可以设置端口映射等,
当然,也要看情况,IGMP这些有必要的话,也可以过虑.
以上全为个人意见,由于知识有限,请大家多多批评指证.
routeros
回复

使用道具 举报

发表于 2004-6-3 15:42:08 | 显示全部楼层
我今天设置了防火墙以后,数据大的惊人。。。我最后还是吧规则去掉了。
routeros
回复

使用道具 举报

 楼主| 发表于 2004-6-3 15:44:25 | 显示全部楼层
对也好错她好,
请大家都说说.
routeros
回复

使用道具 举报

发表于 2004-6-3 17:41:08 | 显示全部楼层
登陆他的DEMO路由,看了些示范,也有屏蔽135、445等这些端口,他们的工程师在故弄玄虚?
routeros
回复

使用道具 举报

发表于 2004-6-3 19:03:28 | 显示全部楼层
错之,NAT是有什么就给你发什么的,而不是你那样的说法
routeros
回复

使用道具 举报

 楼主| 发表于 2004-6-3 23:01:21 | 显示全部楼层
QUOTE
错之,NAT是有什么就给你发什么的,而不是你那样的说法
冲击波等病毒是在外面主动连接端口的,
NAT转发到那台机?
难道是局域网内所有机?
ADSL单拨号的用户会感染上冲击波,
而来带路由的ADSL MODEM的却不会,
就是因为有NAT的缘故.
routeros
回复

使用道具 举报

 楼主| 发表于 2004-6-3 23:44:33 | 显示全部楼层
前段时间我研究过像QQ一样的点对点连接的编程,
那时很多人也在搞.
外界是无法发信息到内网的某一台机的,除非是内网里面的机主动连接外面的机在先.
外面的机可以任意发信息到内网某一台机,那么就不会有炒得火热的P2P技术了.
如果你内部一台机中了冲击波,
那么你设置那些规则是有好处的,
这样可以防止感染到你局域网外面的用户.
我可以说,冲击波病绝对不可以独自穿透NAT到达局域网内的某一台机,
除非你在NAT中映射了这台机的冲击波专门攻击的几个端口.
我特地请教了我的一位同学,也是搞网络编程的,以下是我们的对话:
(2004-06-03 23:00:50)    prettywolf

在吗?

  

(2004-06-03 23:00:21)    Phafer

在,不过准备熄灯了

(2004-06-03 23:02:01)    prettywolf

NAT是否会丢弃一些数据包,

比如说冲击波过来的,

如果不丢的话,是否会发到内网来?

  

(2004-06-03 23:02:23)    Phafer

NAT原理:



只有内网的主动和外面的机器建立连接后,NAT才允许这部分数据进入

NAT还允许udp通过



(2004-06-03 23:03:35)    prettywolf

UDP通过是到达那里?

所有机?

  

(2004-06-03 23:03:20)    Phafer

不是的,也需要内部的机器主动连接的

(2004-06-03 23:03:51)    Phafer

没有映射表,就算发也没用啊,nat不知道发给谁就丢弃了

(2004-06-03 23:04:55)    prettywolf

有些人在NAT中过滤135端口和冲击波所用端口的数据,我认为不必要,你呢?

  

(2004-06-03 23:05:30)    Phafer

除非内部主动连接外部,否则是不可能进入的

(2004-06-03 23:06:30)    prettywolf

哦.

谢了.洗身罗.

  

(2004-06-03 23:05:58)    Phafer

好的

(2004-06-03 23:10:34)    prettywolf

洗着还是跑出来问一句:

内部不会主动招惹冲击波吧?

  

(2004-06-03 23:08:42)    Phafer

这个很难讲的,中毒的机器可能会主动连接外面的服务器

(2004-06-03 23:09:02)    Phafer

这个就是所谓的反弹原理

(2004-06-03 23:09:21)    Phafer

除非你内部的机器不中毒

==========================================
如果你对NAT的工作原理有比较深入的了解,
你应该不会设置那些防冲击波的规则了.
routeros
回复

使用道具 举报

 楼主| 发表于 2004-6-3 23:46:42 | 显示全部楼层
注意这个:没有映射表,就算发也没用啊,nat不知道发给谁就丢弃了
routeros
回复

使用道具 举报

发表于 2004-6-4 07:39:57 | 显示全部楼层
好像不是预防,而是过滤已有中毒的,控制不增加
routeros
回复

使用道具 举报

发表于 2004-6-4 07:54:25 | 显示全部楼层
ROUTEOS有三层防火墙,分别对应来自网外,路由内,局域网内的控制,比如说,TCP端口:134-139 (其中包抱共享端口)、 445 4444 39213 UDP端口:134-139 (其中包抱共享端口)、 445 4444 39213 这些端口都与冲击波病毒有关,你可以在INPUT中设成全封闭,丢弃封包,在一定程序上可以保证局域网中WIN2K系统的安全。
一句话,这个防火墙设置在一定程序上是可以保卫内网安全的,并不是说可有可无。FORWORD可以在里面封IP,封网站,INPUT可以封住所有外来端口请求等等。
除非你内网机器全是LINUX的,否则有必要开防火墙,虽然开防火墙在一定程序上要损失带宽,不过我认为是值得的。
routeros
回复

使用道具 举报

发表于 2004-6-4 22:43:17 | 显示全部楼层
仅就保护网内机器避免冲击波和震荡波,工作在nat方式的路由封闭135等端口无任何意义
routeros
回复

使用道具 举报

发表于 2004-6-5 07:25:52 | 显示全部楼层
QUOTE
仅就保护网内机器避免冲击波和震荡波,工作在nat方式的路由封闭135等端口无任何意义
虽然话这么说,但我确实在日志中看到了内网机器IP中的135等端口请求被屏毙了。不管是内网任两台之间的135端口,也包括外网对内网的。
routeros
回复

使用道具 举报

发表于 2006-8-21 10:11:00 | 显示全部楼层
routeros
回复

使用道具 举报

发表于 2006-8-21 10:33:28 | 显示全部楼层
楼主的网络比较小就没有必要设置这些,但是,你还是可以在防火墙的链接表里面看见这些连接的,如果非常多的人在连接的话,你的表会浪费很多,如果你设置了过滤,你就看到效果了!
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 09:29 , Processed in 0.074646 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表