溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
為了更好的理解RouterOS的防火墻,特地給大家補一下科學知識,ROS的防火墻,其實運作的就是iptables,也為四表五鏈。這篇文章教你快速理解ROS的防火墻,看懂了也就懂iptables是什么原理了。
四表五鏈大致如下。
Raw表——關閉連接追蹤機制。用在prerouting,output鏈上。
Mangle表——拆解報文,分析報文,修改報文。用在prerouting,input,forward,output,postrouting鏈路上。
Nat表——網絡地址轉換,用在prerouting,output,postrouting鏈路上。
Filter表——負責過濾功能,用在input,forward,output鏈路上。
每個表優先級:
Raw—>Mangle—>Nat—>Filter
A.input——進來的數據包應用此規則鏈中的策略
(經過了第一次路由選擇的數據包)
B.output
——外出的數據包應用此規則鏈中的策略
(經過了第二次路由選擇的數據包)
C.forward
——轉發數據包時應用此規則鏈中的策略
(經過了第一次路由選擇的數據包)
D.prerouting
——對進來的數據包作路由選擇前應用此鏈中的規則(還沒有經過任何路由選擇的所有數據包進來的時侯都先由這個鏈處理)
E.postrouting
——對出去的數據包作路由選擇后應用此鏈中的規則(經過了所有的路由選擇的所有數據包出來的時侯都先由這個鏈處理)
先看五鏈的圖:
也許有人會問,為什么要判斷兩次路由呢?
其實路由是判斷這個數據從哪里來到哪里去,要不要路由器出手干活,可以這么理解:
A.目的IP是路由器,但是不需要內核處理的數據,如內網對內網,只要經過一次判斷就一條直線傳出去了。
B.目的IP是路由器,且需要內核處理的數據,如內網對公網、公網對內網,都要拐個彎處理。因為涉及修改IP數據的處理。
所以,第一次是判斷是否要路由器出手處理,第二次是修改完IP數據之后決定往哪個接口(網關)上面送數據。慢慢理解,不要急。
然后就是ROS里面用的鏈和表的關系圖,告訴你鏈可以在哪里被處理。
看起來還是很煩,那么如何選用合適的鏈處理規則呢?
五鏈可以這樣快速理解:
A.——處理進來路由器的的數據包。(目的IP在路由器上的)
B.output——處理從路由器出去的數據包。
C.forward——數據包源IP和目的IP都不在路由器上的。
D.prerouting——外面進來路由器接口的數據包。
E.postrouting——路由器從接口送出去的數據包。
這樣子就很好理解了。
以上就是RouterOS的防火墻一個大致處理過程。
任何數據經過路由器都會經過鏈式處理,我們在合適的地方配置規則,匹配了,就可以進行相應的處理。
那么怎么選擇合適的鏈路進行配置,配置的處理動作又有那些呢?下一章節我們開始介紹下ROS防火墻的每個表是如何設置規則的。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
