為了更好的理解RouterOS的防火墻����,特地給大家補(bǔ)一下科學(xué)知識(shí)����,ROS的防火墻���,其實(shí)運(yùn)作的就是iptables,也為四表五鏈��。這篇文章教你快速理解ROS的防火墻��,看懂了也就懂iptables是什么原理了���。
成都創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計(jì)�、成都網(wǎng)站制作����、網(wǎng)頁(yè)設(shè)計(jì)���、企業(yè)做網(wǎng)站��、公司建網(wǎng)站等業(yè)務(wù)����。立足成都服務(wù)平谷,10多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠����、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):18982081108
四表五鏈大致如下�����。
1.四表:
Raw表——關(guān)閉連接追蹤機(jī)制�。用在prerouting��,output鏈上���。
Mangle表——拆解報(bào)文����,分析報(bào)文��,修改報(bào)文�。用在prerouting,input����,forward,output�,postrouting鏈路上。
Nat表——網(wǎng)絡(luò)地址轉(zhuǎn)換��,用在prerouting,output��,postrouting鏈路上���。
Filter表——負(fù)責(zé)過(guò)濾功能�����,用在input�����,forward�,output鏈路上�。
每個(gè)表優(yōu)先級(jí):
Raw—>Mangle—>Nat—>Filter
2.五鏈
A.input——進(jìn)來(lái)的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
(經(jīng)過(guò)了第一次路由選擇的數(shù)據(jù)包)
B.output
——外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
(經(jīng)過(guò)了第二次路由選擇的數(shù)據(jù)包)
C.forward
——轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)應(yīng)用此規(guī)則鏈中的策略
(經(jīng)過(guò)了第一次路由選擇的數(shù)據(jù)包)
D.prerouting
——對(duì)進(jìn)來(lái)的數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則(還沒(méi)有經(jīng)過(guò)任何路由選擇的所有數(shù)據(jù)包進(jìn)來(lái)的時(shí)侯都先由這個(gè)鏈處理)
E.postrouting
——對(duì)出去的數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則(經(jīng)過(guò)了所有的路由選擇的所有數(shù)據(jù)包出來(lái)的時(shí)侯都先由這個(gè)鏈處理)
先看五鏈的圖:
也許有人會(huì)問(wèn),為什么要判斷兩次路由呢��?
其實(shí)路由是判斷這個(gè)數(shù)據(jù)從哪里來(lái)到哪里去�����,要不要路由器出手干活�,可以這么理解:
A.目的IP是路由器��,但是不需要內(nèi)核處理的數(shù)據(jù),如內(nèi)網(wǎng)對(duì)內(nèi)網(wǎng)�����,只要經(jīng)過(guò)一次判斷就一條直線傳出去了�����。
B.目的IP是路由器����,且需要內(nèi)核處理的數(shù)據(jù),如內(nèi)網(wǎng)對(duì)公網(wǎng)����、公網(wǎng)對(duì)內(nèi)網(wǎng),都要拐個(gè)彎處理�����。因?yàn)樯婕靶薷腎P數(shù)據(jù)的處理�����。
所以�����,第一次是判斷是否要路由器出手處理,第二次是修改完IP數(shù)據(jù)之后決定往哪個(gè)接口(網(wǎng)關(guān))上面送數(shù)據(jù)����。慢慢理解,不要急�����。
然后就是ROS里面用的鏈和表的關(guān)系圖��,告訴你鏈可以在哪里被處理�����。
看起來(lái)還是很煩��,那么如何選用合適的鏈處理規(guī)則呢�����?
五鏈可以這樣快速理解:
A.——處理進(jìn)來(lái)路由器的的數(shù)據(jù)包�����。(目的IP在路由器上的)
B.output——處理從路由器出去的數(shù)據(jù)包���。
C.forward——數(shù)據(jù)包源IP和目的IP都不在路由器上的�����。
D.prerouting——外面進(jìn)來(lái)路由器接口的數(shù)據(jù)包����。
E.postrouting——路由器從接口送出去的數(shù)據(jù)包����。
這樣子就很好理解了。
以上就是RouterOS的防火墻一個(gè)大致處理過(guò)程���。
3.規(guī)則是怎么處理的
任何數(shù)據(jù)經(jīng)過(guò)路由器都會(huì)經(jīng)過(guò)鏈?zhǔn)教幚?���,我們?cè)诤线m的地方配置規(guī)則��,匹配了��,就可以進(jìn)行相應(yīng)的處理���。
那么怎么選擇合適的鏈路進(jìn)行配置���,配置的處理動(dòng)作又有那些呢���?下一章節(jié)我們開(kāi)始介紹下ROS防火墻的每個(gè)表是如何設(shè)置規(guī)則的。
本文題目:MikrotikRouterOS的防火墻簡(jiǎn)介-從零開(kāi)始學(xué)R
本文鏈接:
http://weahome.cn/article/isjsci.html
重慶分公司
重慶分公司
