设为首页收藏本站
切换到窄版

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
自由的生活_软路由»交流 ::技术区:: RouterOS 那位老大有比较全面一点的防火墙脚本文件? ...
返回列表 发新帖
查看: 7183|回复: 12

[脚本] 那位老大有比较全面一点的防火墙脚本文件?

[复制链接]
chatbug
发表于 2005-2-15 01:19:18 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
那位老大有比较全面一点的routeros防火墙脚本文件?手动添加实在是太麻烦了,主要是防止黑客和蠕虫攻击.我的RouterOS 是2.8.17以上的。先谢过了。
routeros
回复

使用道具 举报

chatbug
 楼主| 发表于 2005-2-15 23:03:25 | 显示全部楼层
老大些帮帮忙.
routeros
回复

使用道具 举报

hzkane
发表于 2005-2-16 17:56:52 | 显示全部楼层
?你看看我的?置.可能有些地方有些繁?.可以借?...

firewall_1.rsc.txt

24.52 KB, 下载次数: 399
routeros
回复

使用道具 举报

chatbug
 楼主| 发表于 2005-2-16 23:30:21 | 显示全部楼层
谢谢楼上的。你的防火墙脚本好详尽,灰鸽子你也防御了。你的网络好像比较复杂。
routeros
回复

使用道具 举报

hzkane
发表于 2005-2-19 12:26:46 | 显示全部楼层
最近还在不停的改进。。。
routeros
回复

使用道具 举报

发表于 2005-2-19 12:35:04 | 显示全部楼层
支持楼上~~~
routeros
回复

使用道具 举报

madlife
发表于 2005-2-23 11:13:29 | 显示全部楼层
QUOTE (hzkane @ Feb 19 2005, 12:26 PM)
最近还在不停的改进。。。  
  朋友,你的设置能不能将你最新的设置共享一下向你学习啊
routeros
回复

使用道具 举报

hzkane
发表于 2005-2-23 14:40:12 | 显示全部楼层
QUOTE (yichang01 @ Feb 23 2005, 11:43 AM)
这么复杂,会不会影响路由器的效率,您的机器什么配置,带了多少用户。将将看,谢谢。
C-500(直插式)+64MB内存+2GB硬盘+[2个530TX网卡+1个8139D金浪网卡+ISA接口的NE2000兼容网卡]+intel440BX主板,带了近乎70台计算机.计算机分布比较广.内部分为四个网段,对内提供DHCP和PPPOE服务.对外提供PPTP\L2TP服务,530-1-wan用电信的线路.530-1-lan用172.17.16.0/24固定IP(个别限制速度和限时上网),8139D用172.17.17.0/24固定IP(限制速度)ISA NE2000 是做DHCP和PPPOE服务用的是172.17.18.0/24网段(限制速度).而且在8139D网卡上虚拟出172.17.19.0/24网段,做PPTP\L2TP服务提供172.17.19.0/24网段(限制速度).并且结合带VLAN的交换机.在ROS里设置好使各个网段不能互相通讯.限制单个ip或者一个段速度都可以,而且限制P2P类似的下载速度,(不过呢,我和另外一台计算机使用电驴全天下载.)封闭BT下载,防火墙规则参照官方站点设置.自己又添加了一些.平时上网最高峰的时候CPU是5%左右..内存剩余是39MB多.(每天长开的计算机有8台连接外网,两台长期开着电驴下载东西.).对外提供www三个服务,FTP三个..开了ROS的demo...
routeros
回复

使用道具 举报

jack_i5
发表于 2005-2-23 22:54:11 | 显示全部楼层
这是我见过的最复杂的防火墙。尤其是VIRUS部分!我也从中学到了不少东西,谢谢分享!但是我还是有几个问题想请教一下1、封堵那么多端口一定是必要的嘛?有些病毒一定会对ROS造成威胁嘛?封堵这么多会不会影响ROS的运行效率?2、

CODE
add protocol=igmp action=drop comment="" disabled=no add protocol=igmp limit-count=30 limit-burst=2 limit-time=5s action=accept \ ??omment="" disabled=no
上面的语句如果被ROS按照先后顺序来执行的话,会不会是无效的语句?3、

CODE
add protocol=tcp tcp-options=non-syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no add protocol=tcp tcp-options=syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no
这两句用来做什么?『能举例最好』其中,non-syn-only 和syn-only 该如何理解?4、

CODE
/ip firewall rule input add dst-address=:20561 protocol=udp action=drop comment="" disabled=no add dst-address=:25505 protocol=tcp action=drop comment="" disabled=no
这两句如何理解?5、

CODE
/ip firewall rule vriusadd dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" disabled=no add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
是不是重复了?让ROS辛苦两次  :)6、

CODE
/ip firewall rule vriusadd dst-address=:3389 protocol=tcp action=drop comment="drop 远程服务访问端口3389" \    disabled=no add dst-address=:3389 protocol=udp action=drop comment="" disabled=no
肉鸡能中到ROS上嘛?还有,我记得3389远程连接好像是基于IP的吧?不关UDP什么事情吧?
routeros
回复

使用道具 举报

chatbug
 楼主| 发表于 2005-2-24 02:37:40 | 显示全部楼层
楼上的观察好仔细,我增加了对SYN的控制并修改了部分条目的顺序和位置,感觉效率还不错。
routeros
回复

使用道具 举报

hzkane
发表于 2005-2-24 11:09:29 | 显示全部楼层
QUOTE (jack_i5 @ Feb 23 2005, 10:54 PM)
这是我见过的最复杂的防火墙。尤其是VIRUS部分!我也从中学到了不少东西,谢谢分享!但是我还是有几个问题想请教一下1、封堵那么多端口一定是必要的嘛?有些病毒一定会对ROS造成威胁嘛?封堵这么多会不会影响ROS的运行效率?2、

CODE
add protocol=igmp action=drop comment="" disabled=no add protocol=igmp limit-count=30 limit-burst=2 limit-time=5s action=accept \ ??omment="" disabled=no
上面的语句如果被ROS按照先后顺序来执行的话,会不会是无效的语句?3、

CODE
add protocol=tcp tcp-options=non-syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no add protocol=tcp tcp-options=syn-only connection-state=invalid limit-count=5 \ ??imit-burst=2 limit-time=3s action=drop comment="" disabled=no
这两句用来做什么?『能举例最好』其中,non-syn-only 和syn-only 该如何理解?4、

CODE
/ip firewall rule input add dst-address=:20561 protocol=udp action=drop comment="" disabled=no add dst-address=:25505 protocol=tcp action=drop comment="" disabled=no
这两句如何理解?5、

CODE
/ip firewall rule vriusadd dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" disabled=no add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
是不是重复了?让ROS辛苦两次  :)6、

CODE
/ip firewall rule vriusadd dst-address=:3389 protocol=tcp action=drop comment="drop 远程服务访问端口3389" \ ??isabled=no add dst-address=:3389 protocol=udp action=drop comment="" disabled=no
肉鸡能中到ROS上嘛?还有,我记得3389远程连接好像是基于IP的吧?不关UDP什么事情吧?
谢谢指正你说的第三个问题呢.其实我是在原来的基础上做的测试.看看其他设定有什么反常.是针对无效连接做的测试而已...第四个问题,以前曾经听别人说这两个其中一个端口和什么(我也记不起来了)有关联.我就封闭了。你也可以不选择这条.第五点.我发过帖子后仔细检查过.发现确实2745是重复了。已经修改过了。不过在这里还是要谢谢你.第六点.不是说要防ros被人控制.主要是防范内部的计算机被人控制...把出入全部封闭.你没有看见我在INPUT\FORWARD\OUTPUT都做了关于VIRUS的设定吗?你没看见我也做了TCP的规则吗?我做UDP规则,我是想看看有没有UDP的包流量.其实并没有着重..这些防火墙规则.不一定适合你们.不过你们可以借鉴和参考...我也是看CPU的量来修改防火墙规则的... 哦。对了。里面封闭25端口.我是限制不允许内部用OE和FOXMAIL软件发送邮件出去.另外1723端口(标准的)和500端口(ipsec)端口是针对VPN的.我在input\forward\output里做了jump的语句,分别执行virus和lanip里的规则...
routeros
回复

使用道具 举报

发表于 2005-2-26 11:36:34 | 显示全部楼层
嗯,hzkane的防火墙写的很好,值得借鉴..,谢谢
routeros
回复

使用道具 举报

kabalong
发表于 2006-10-10 17:42:11 | 显示全部楼层
谢谢,我也真需要...................
routeros
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 00:32 , Processed in 0.192266 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表