成都网大科技有限公司
MikroTik RouterOS 应用事例讲解
Copyright . CDNAT
-1-
www.mikrotik
成都网大科技有限公司
防火墙规则
下面是三条预先设置好了的 chains,他们是不被能删除的:
• • •
input – 用于处理进入路由器的数据包,即数据包目标 IP 地址是到达路由器一个接口的 IP 地址,经过路由器的数 据包不会在 input-chains 处理。 forward – 用于处理通过路由器的数据包 output – 用于处理源于路由器并从其中一个接口出去的数据包。 他们具体的区别如下:
当处理一个 chain(数据链),策略是从 chain 列表的顶部从上而下执行的。如果一个数据包满足策略的条件,这时会执行 该操作。 我们来看看防火墙过滤原则:
Copyright . CDNAT
-2-
www.mikrotik
成都网大科技有限公司
现在我来看事例中的防火墙规则: 我先从 input 链表开始,这里是对所有访问路由的数据进行过滤和处理:
从 input 链表的第一条开始执行,这里一共有三条规则:
0青山事件
;;;
接受你信任的 IP 地址访问(src-address=填写信任 IP,默认允许任何地址) 丢弃非法连接 丢弃任何访问数据 chain=input src-address=192.168.100.2 action=accept 1 ;;;
chain=input connection-state=invalid action=drop 2 ;;;
chain=input action=drop
下面是 forward 链表
Copyright . CDNAT
-3-
黄金龟甲虫www.mikrotik
成都网大科技有限公司
forward 链表,一共有 7 条规则,包括两个跳转到自定义链表 ICMP 和 virus 链表:
0 ;;;
接受已建立连接的数据 接受相关数据 丢弃非法数据包 限制每个主机 TCP 连接数为 80 条 丢弃掉所有非单播数据 跳转到 ICMP 链表 跳转到病毒链表
chain=forward connection-state=established action=accept 1 ;;;
chain=forward connection-state=related action=accept 2 ;;;
chain=forward connection-state=invalid action=drop 3 ;;;
chain=forward protocol=tcp connection-limit=80,32 action=drop 4 ;;;
chain=forward src-address-type=!unicast action=drop 5 ;;;
本溪四高中
chain=forward protocol=icmp action=jump jump-target=ICMP 6 ;;;
白头chain=forward action=jump jump-target=virus
forward 工作过程如下:
Copyright . CDNAT
2008人体艺术
-4-
www.mikrotik
成都网大科技有限公司 在自定义链表 ICMP 中,是定义所有 ICMP(Internet 控制报文协议),ICMP 经常被认为是 IP 层的一个组成部分。它传 递差错报文以及其他需要注意的信息。 ICMP 报文通常被 IP 层或更高层协议 (TCP 或 UDP) 使用。 例如: ping、 traceroute、 trace TTL 等。我们通过 ICMP 链表来过滤所有的 ICMP 协议:
ICMP 链表操作过程:
0
;;; Ping 应答限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept ;;; Traceroute 限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept ;;; MTU 线路探测限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept ;;; Ping 请求限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept ;;; Trace TTL 限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept 丢弃掉任何 ICMP 数据
1
2
3
4
5
;;;
chain=ICMP protocol=icmp action=drop石家庄平安口腔学校
在 virus 链表中过滤常见的病毒,我可以根据需要在该链表中添加新的病毒对他们做过滤:
Copyright . CDNAT
-5-
www.mikrotik
成都网大科技有限公司
Tracking 设置
这里我们可以设置是否启用 tracking 连接跟踪,以及 TCP、UDP 和 ICMP 等协议的 timeout 时间,和 TCP-syncookie 设 置,RouterOS 在 2.9.16 中增加了 TCP-syncookie 参数。 在使用 NAT 时需要启用 Tracking 连接跟踪,如果你的 RouterOS 没有使用 NAT(如在使用 bridge 模式下),可以选择 关闭 tracking,降低系统资源。
SYN Cookie 原理 SYN Flood 是一种非常危险而常见的 DoS 攻击方式。到目前为止,能够有效防范 SYN Flood 攻击的手 段并不多,而 SYN Cookie 就是其中最著名的一种 SYN Cookie 是对 TCP 服务器端的三次握手协议作一些修改,专门用来防范 SYN Flood 攻击的一种手段。 它的原理是,在 TCP 服务器收到 TCP SYN 包并返回 TCP SYN+ACK 包时,不分配一个专门的数据区,而 是根据这个 SYN 包计算出一个 cookie 值。在收到 TCP ACK 包时,TCP 服务器在根据那个 cookie 值检查这 个 TCP ACK 包的合法性。如果合法,再分配专门的数据区进行处理未来的 TCP 连接。
事例操作
如何实现其中一条线路掉线后,自动切换到另一条线路
RouterOS 2.9 中路由规则增加的两点功能: 1、在 RouterOS 2.9 路由规则中增加了 check-gateway
的功能,能检测到网关的线路状态,如果网关无法探测到,便认为网 关无法连接,会自动禁止访问网关的数据通过,check-gateway 功能的探测时间为 10s 一个周期。 2、在 RouterOS 2.9 中具备了对缺省网关的判断,在 RouterOS 2.9 的任何一个路由表中只能存在一个缺省网关,即到任何目 标地址为 0.0.0.0/0,没有做路由标记(routing-mark)的规则,如果存在另一个缺省网关则认为是错误,路由将不予以执行。 如下图: Copyright . CDNAT
-6-
www.mikrotik
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议