ros5防火墻如何設置

ros5防火墻如何設置

　　ros5防火墻我們要怎么樣去設置呢?小編來教你!下面由學習啦小編給你做出詳細的ros5防火墻設置方法介紹!希望對你有幫助!

　　ros5防火墻設置方法一：

　　Ip 防火墻應用

　　描述

　　在這個部分，我們討論防火墻的一些的應用和例子。

　　防火墻設置基本原則

　　假定我們有一個本地網通過路由連接到internet，那么基本的防火墻構建原則由以下幾部分組成：

　　1、保護路由避免沒有認證的訪問

　　必須監控那些到路由的連接。只能允許某些特定的主機到路由某些特定的 tcp端口的訪問。這項工作可以在input中設置，以便比較匹配通過路由所有連接界面到路由目的地址的數據包。

　　2、保護本地主機

　　必須監控那些到本地網絡地址的連接。只有有權到某些主機和服務的連接才能被允許。這項工作可以在forward中設置，以便比較匹配決定通過路由所有連接界面到本地網路目的地址的數據包。

　　3、利用nat將本地的網絡隱藏在一個公網的ip后面。

　　所有本地網絡的連接被偽裝成來自路由本身的公網地址。這項工作可以通過啟用偽裝行為來實現源地址轉換規則。

　　4、強制本地網絡連接到公網的訪問原則。

　　必須監控那些來自本地網絡地址的連接。這項工作可以通過forward中設置，或者通過偽裝哪些被允許的連接來實現。數據的過濾會對router的性能造成一定的影響，為了把這個影響降到最低，這些過濾的規則必須放在各個chain的頂部。這個在傳輸控制協議選項non- syn -only中.

　　防火墻過濾實例

　　實現目標：

　　目標1、讓路由只允許來自10.5.8.0/24網絡地址的訪問。

　　目標2、保護本地主機(192.168.0.0/24)遠離未授權的訪問。

　　目標3、讓公網可以訪問本地主機192.168.0.17的http 和smtp服務。

　　目標4、只允許本地網絡中的主機進行icmp ping 操作。強制使用在192.168.0.17主機上的代理服務。

　　假設我的網絡設置如下：

　　公網 ip :10.0.0.217/24 網關 ip ：10.0.0.254

　　內網 ip :192.168.0.254/24 內網服務器地址：192.168.0.17/24

　　為了實現第一個目標，我們必須對所有通過路由的數據包進行過濾，只接受哪些我們允許的數據。因為所有通過路由的數據包都要經過input chain進行處理，所以，我們可以在ip->firewall-> rule input 中加入以下規則。

　　[admin@MikroTik] >ip firewall rule input

　　[admin@MikroTik] ip firewall rule input>add protocol=tcp [admin@MikroTik] ip firewall rule input>tcp-options=non-syn-only connection-state=established

　　[admin@MikroTik] ip firewall rule input>add protocol=udp

　　[admin@MikroTik] ip firewall rule input>add protocol=icmp

　　[admin@MikroTik] ip firewall rule input>add src-addr=10.5.8.0/24

　　[admin@MikroTik] ip firewall rule input>add action=reject log=yes

　　通過上述設置，input chain就可以實現只接受10.5.8.0/24地址段的連接，而把其他連接都拒絕并且記錄到日志。

　　為了保護本地網絡，我們必須對通過路由訪問本地網絡也就是對192.168.0.0/24一段地址的訪問的數據包進行比對篩選，這個功能可以在forward chain 中實現。在forward 中，我們可以依靠ip地址對數據包進行匹配，然后跳轉到我們自己創建的chain中，比如這里我們創建一個 customer chain 并加入一些規則。

　　[admin@MikroTik] ip firewall> add name=customer

　　[admin@MikroTik] ip firewall> print

　　# NAME POLICY

　　0 input accept

　　1 forward accept

　　2 output accept

　　3 customer none

　　[admin@MikroTik] ip firewall> rule customer

　　[admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established

　　[admin@MikroTik] ip firewall rule customer> add protocol=udp

　　[admin@MikroTik] ip firewall rule customer> add protocol=icmp

　　[admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25

　　[admin@MikroTik] ip firewall rule customer> add action=reject log=yes

　　通過上述規則，我們在customer chain 中設定了對數據包的過濾規則，那么下面我要做的就是在forward chain 中做一個跳轉，將所有進入到本地網的數據跳轉到customer chain 中處理。

　　[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer

　　這樣，所有通過路由進入到本地網絡的數據包都將通過customer chain中的防火墻規則進行過濾。

　　Step 3

　　為了強制本地網絡的主機通過192.168.0.17這臺代理服務器訪問internet ,

　　我們應該在forward 鏈中加入以下規則。(這個設置我覺得好像有點多余，是不是這里192.168.0.17起到了一層防火墻的作用，反正我是沒有加這個規則)。

　　[admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public

　　[admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public

　　[admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public

　　ros5防火墻設置方法二：

　　Ip 防火墻應用描述部我討論防火墻些應用例防火墻設置基本原則假定我本網通路由連接internet基本防火墻構建原則由幾部組：

　　1、保護路由避免沒認證訪問必須監控些路由連接能允許某些特定主機路由某些特定 tcp端口訪問項工作input設置便比較匹配通路由所連接界面路由目址數據包

　　2、保護本主機必須監控些本網絡址連接權某些主機服務連接才能允許項工作forward設置便比較匹配決定通路由所連接界面本網路目址數據包

　　3、利用nat本網絡隱藏公網ip面所本網絡連接偽裝自路由本身公網址項工作通啟用偽裝行實現源址轉換規則

　　4、強制本網絡連接公網訪問原則必須監控些自本網絡址連接項工作通forward設置或者通偽裝哪些允許連接實現數據濾router性能造定影響影響降低些濾規則必須放各chain頂部傳輸控制協議選項non- syn -only.

　　看了“ros5防火墻如何設置 ”文章的還看了：

1.機器狗病毒預防

2.cisco ROS動態ADSL+固定IP怎么做策略路由

3.軟路由怎么搭建服務器