官方的2824的防火墙解析

madlife

先看一下input，高手有　空时解析一下其中的意义写以下这些，也是我学习的一个过程，希望高手在看过之后，能指正当中错误ADSL＿mtu,mru,mss[demo@demo.mt.lv] ip firewall> rule   forward    input   output    virus[demo@demo.mt.lv] ip firewall> rule input printFlags: X - disabled, I - invalid, D - dynamic  0   ;;; Drop invalid connections     connection-state=invalid action=drop /invalid 病人, 残废者 有病的, 残废的 指drop无效连接/感谢voatec 朋友 1   ;;; Accept established connections     tcp-options=non-syn-only connection-state=established action=accept /同意有效连接/  注意tcp-options=non-syn-only在winbox操作中Protocol选为tcp，才能tcp-options选为non-syn-only，选后，将Protocol恢复为all/但是，我确认后，还是无法加入tcp-options=non-syn-only，也许是版本的原因吧倒，我再试了一下，又可以了，我用的是28183-16，晕死，现在用print看时，与这一行一样了，回到winbox，与官方的一样了，怎么设成这样的我都不知。我这么理解这一句，同意除了syn以后的有效连接，这个在对应syn上或许有点用 2   ;;; Accept related connections     connection-state=related action=accept /同意相关连接/ 3   ;;; !!! Check for well-known viruses !!!     action=jump jump-target=virus /这回可真的没有这个功能了，有空用虚拟机装个2822看看，有没有virus选项/ 4   ;;; UDP     protocol=udp action=accept /同意所有的UDP/哈哈，随便写个网站http://www.cnpaf.net/中国协议分析网UDP协议是英文UserDatagramProtocol的缩写，即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。 5   ;;; Allow limited pings     protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept /ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 6   ;;; Drop excess pings     protocol=icmp action=drop /5与6，这两句是配合用的，第一个是允许有限制的PING，第二句是对除第一外的另外情况进行阻拦。当然，你可以设定为对所有的PING都阻拦掉。/感谢lzlux朋友 7   ;;; SSH for demo purposes     dst-address=:22 protocol=tcp action=accept  8   ;;; Telnet for demo purposes     dst-address=:23 protocol=tcp action=accept  9   ;;; http for demo purposes     dst-address=:80 protocol=tcp action=accept 10   ;;; winbox for demo purposes     dst-address=:3987 protocol=tcp action=accept 11   ;;; From Mikrotikls network     src-address=159.148.172.192/28 action=accept 12   ;;; From Mikrotikls network     src-address=10.0.0.0/8 action=accept 13   ;;; Log and drop everything else （log和drop 其他的万物，呵呵，这一句应怎么意译才准确啊，我是这么理解的拒绝其它的所有的，并写入日志。）     action=drop log=yes#经过以上处理后，drop所有，含连接，端口协议等等，并写入log，有了这一句就不难理解前面为什么要accept一些内容与端口（最后一句是不是这样理解，这是关键。）＃7-13感谢voatec朋友的指点意思就是允许以下连接：7：通过ssh连接；8：通过telnet连接；9：通过http连接；10：通过winbox连接如果不先加载这几条，那么后面的13 ;;; Log and drop everything elseaction=drop log=yes 这一条就会阻止这些端口，那就无法通过网络管理ros了。

madlife

[demo@demo.mt.lv] ip firewall rule forward> printFlags: X - disabled, I - invalid, D - dynamic  0   ;;; Drop invalid connections     connection-state=invalid action=drop #拒绝无效连接 1   ;;; Established connections     connection-state=established action=accept #同意有效连接 2   ;;; Related connections     connection-state=related action=accept #同意相关连接 3   ;;; !!! Check for well-known viruses !!!     action=jump jump-target=virus #根据virus条件，选择jump，不知是什么版开始，在与input,forward,output一起多了一个virus选项。有时间试一下2822的，如这个也没有，呵呵，只能等到。。。 4   ;;; UDP     protocol=udp action=accept #同意所有的UDP连接，当然除了上面Drop了的 5   ;;; Allow limited pings     protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept  6   ;;; Drop excess pings     protocol=icmp action=drop#56两条的意义同input中的解释，防一下恶意的ping

madlife

[demo@demo.mt.lv] ip firewall> rule output printFlags: X - disabled, I - invalid, D - dynamic  0   protocol=tcp tcp-options=syn-only action=drop log=yes [demo@demo.mt.lv] ip firewall> #Drop所有的syn的连接这个出现在output中的意义在于控制路由网内的syn的使用

madlife

#这是病毒部分，无非就是Drop相关病毒的端口与所有的协议[demo@demo.mt.lv] > /ip firewall rule virus printFlags: X - disabled, I - invalid, D - dynamic  0   ;;; Drop Blaster Worm     dst-address=:135-139 protocol=tcp action=drop  1   ;;; Drop Messenger Worm     dst-address=:135-139 protocol=udp action=drop  2   ;;; Drop Blaster Worm     dst-address=:445 protocol=tcp action=drop  3   ;;; Drop Blaster Worm     dst-address=:445 protocol=udp action=drop  4   ;;; ________     dst-address=:593 protocol=tcp action=drop  5   ;;; ________     dst-address=:1024-1030 protocol=tcp action=drop  6   ;;; Drop MyDoom     dst-address=:1080 protocol=tcp action=drop  7   ;;; ________     dst-address=:1214 protocol=tcp action=drop  8   ;;; ndm requester     dst-address=:1363 protocol=tcp action=drop  9   ;;; ndm server     dst-address=:1364 protocol=tcp action=drop 10   ;;; screen cast     dst-address=:1368 protocol=tcp action=drop 11   ;;; hromgrafx     dst-address=:1373 protocol=tcp action=drop 12   ;;; cichlid     dst-address=:1377 protocol=tcp action=drop 13   ;;; Worm     dst-address=:1433-1434 protocol=tcp action=drop 14   ;;; Bagle Virus     dst-address=:2745 protocol=tcp action=drop 15   ;;; Drop Dumaru.Y     dst-address=:2283 protocol=tcp action=drop 16   ;;; Drop Beagle     dst-address=:2535 protocol=tcp action=drop 17   ;;; Drop Beagle.C-K     dst-address=:2745 protocol=tcp action=drop 18   ;;; Drop MyDoom     dst-address=:3127-3128 protocol=tcp action=drop 19   ;;; Drop Backdoor OptixPro     dst-address=:3410 protocol=tcp action=drop 20   ;;; Worm     dst-address=:4444 protocol=tcp action=drop 21   ;;; Worm     dst-address=:4444 protocol=udp action=drop 22   ;;; Drop Sasser     dst-address=:5554 protocol=tcp action=drop 23   ;;; Drop Beagle.B     dst-address=:8866 protocol=tcp action=drop 24   ;;; Drop Dabber.A-B     dst-address=:9898 protocol=tcp action=drop 25   ;;; Drop Dumaru.Y     dst-address=:10000 protocol=tcp action=drop 26   ;;; Drop MyDoom.B     dst-address=:10080 protocol=tcp action=drop 27   ;;; Drop NetBus     dst-address=:12345 protocol=tcp action=drop 28   ;;; Drop Kuang2     dst-address=:17300 protocol=tcp action=drop 29   ;;; Drop SubSeven     dst-address=:27374 protocol=tcp action=drop 30   ;;; Drop PhatBot, Agobot, Gaobot     dst-address=:65506 protocol=tcp action=drop

madlife

病毒部分就没什么可解释的了有朋友的贴在精华中了，那有很好的解析了防火墙部分，也就是理解好input,forward,output的关系这个论坛对此都有解释的，我只是整理一下自己所理解的我的E文很差的input控制外界对路由的影响，控制外网的信息forward是控制路由的转发，控制内网的信息output是本人感觉与forward有些类似的啊，还好官方也只有一条控制syn的关于output的，在这个论坛中几乎看到有人谈它，呵呵，那就不管它了这些概念我不能很好的理解output，输出的意思其它的应用还在学习当中。。。本人在此写出这些，是想请高手看了之后，如看出什么不妥之处，请指正

madlife

在实际使用不如，我还加了以下两条注意各个规则之间的前后关系。 3  src-address=!192.168.0.0/24 protocol=icmp action=drop #drop 除内网外的ping（这里与官网的控制的ping有些程度上的不同） 4  src-address=!192.168.0.0/24 action=drop #drop除内网外的连接（现在看来与官方的设置有些重复或冲突）12 ;;; From Mikrotikls networksrc-address=10.0.0.0/8 action=accept 13 ;;; Log and drop everything else action=drop log=yes(官网的这两句我认为可以并为一句:src-address=!10.0.0.0/8 action=drop log=yes不知这样理解对不对的??)在这些之前，我加了外网管理的IP还有，刚才有朋友发的关于syn的，我在考虑怎么结合使用/ ip firewall rule input add protocol=tcp tcp-options=syn-only limit-count=3000 limit-burst=2 limit-time=5s action=accept add protocol=tcp tcp-options=syn-only action=reject 这两句的效果还要看有网友的实际应用，感觉与官方的设置有些重复不知官方的设置对syn的效果怎么样？我理解为官方的设置除了病毒防以外，就是对syn的防了刚才试了一下，如这一句之前action=drop log=yes有了以上两句，这一句将不起作用syn_sent 时间改短一点(这是应付syn的一点思路，来自本论坛)

madlife

如果ROS应用在一个无法对客户端电脑进行管理（比如是用于提供上网服务）的网络如网内的电脑有病毒，你又无法与该电脑的主人交流，也就是说，他的电脑你没有权利处理，那人又很垃圾，电脑中都是病毒，smtp之类的这样对ROS的硬件要求就高了，相当于有一台电脑总是在攻击路由syn sent ....我自己管理的一个中心的网络，装了一个ROS，因为内部电脑管理制度严格，我就简单设了一下135-139,135的，加上进来的是100M光纤，我不用对网络进行别的设置就行了，工作很正常我又不知硬件防火是怎么保证网络的防攻击，只想提高ROS的硬件配置能提高本身的病毒抵抗能力。还有，防火墙的设置思路，完全可以根据你的网络的实际需要去配置吧

madlife

认真的看完了官方的demo后，感觉E文真他妈的重要  如果懂E文就不用花这么长的时间来学习这个了

madlife

测试当中引起无法进入winboxneighbour这个软件好东西ros设置错误进不了winbox的几种解决办法http://www.routerclub.com/ipb/index.php?sh...96&hl=neighbour这样是不是可以绑定RouterOS 路由器的ip 防止ip冲突掉线？http://www.routerclub.com/ipb/index.php?sh...22&hl=neighbour因为设错规则导到WINBOX不能连接的解决方法。http://www.routerclub.com/ipb/index.php?sh...22&hl=neighbour 一个E文不行的ROS菜鸟的成长http://www.routerclub.com/ipb/index.php?showtopic=5452&st=0怎么设置记录所有内网机器上网loghttp://www.routerclub.com/ipb/index.php?sh...ic=4796&hl=成长

madlife

防火精华action=drop接用win2003的思路什么都关闭，用到什么开放什么sblive简单地说，INPUT是指进入路由的数据。可以看成针对路由本身的。按官方的设置，是开了必要开放的接口和端口，再DROP所有的数据。就是说除了指定开放的可以通过外，别的数据一律DROP，这是一种最安全的策略方法。你也可以不必按官方的设置，其实防火墙很多原理是相通的，天网的也和这个类似。

madlife

sblive 发表于: Mar 17 2005, 09:59 AM    ROS的防火墙原则是：先允许必须使用的端口开放，最后再封闭所有端口。这是一种最安全的原则。。  收录，以表示感谢

madlife

jack_i5 发表于: Mar 17 2005, 06:21 PM    我的建议是：调试阶段可以不用DROP ICMP ，一旦ROS正式进入运行阶段，最好关闭内外两方面的所有ICMP协议响应，也就是不让PING 。这样是有好处的。

jack_i5

你学的好认真啊！为你感动！！！！技术就是在这样的不断研究中提高的，我欣赏你作总结性笔记的习惯。希望你能坚持，以后大家多交流

madlife

按官方的设置时，我想最好还是加入3986这个端口dst-address=:3986 protocol=tcp action=accept 呵呵不过也无所谓了，出了故障时用telnet进入后停掉最后一句就能用winbox进入了

madlife

3 ;;; !!! Check for well-known viruses !!!action=jump jump-target=virus /这回可真的没有这个功能了，有空用虚拟机装个2822看看，有没有virus选项/安装了2822也没有virus这一个选项感谢hzkane朋友提供demo原来是在Filter Chains 增加的可以理解为一个组，有共性的组