1、RouterOS防火墙与过滤详解RouterOS能对包状态过滤;P2P 协议过滤;源和目标 NAT;对源 MAC、IP 地址、端口、IP 协议、协议(ICMP、TCP、MSS 等)、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制.下面是 RouterOS对 IP流的处理流程:RouterOS防火墙类型MikroTik RouterOS具备强大的防火墙,根据不同的环境和类别我们可以把RouterOS的分未如下几个类型:从网络层上分类:分为二层过滤防火墙和三层与三层以上过滤防火墙,他们分别在 bridge filter和 ip firewall
2、filter下进行操作,能对各层的数据进行处理。从数据传输上分类:分为 input、foreward 和 output三种链表(chain)过滤,不管是二层或者三层过滤上都包含这三个链表。同时 RouterOS还支持自定义防火墙链表。如下面的 virus病毒链表。我们可以通过 jump命令将数据跳转到指定的链表。上面的图片是显示了几个自定义链表,除了我们在右上角,下拉菜单看到的input、forward、output 基本链表外(all、dynamic、static 是系统状态链表),可以看到自定义的 Robotdog、ICMP、virus 这三个链表。RouterOS IP firewall
3、 filter工作原理下面是三条预先设置好了的 chains,他们是不被能删除的:input 用于处理进入路由器的数据包,即数据包目标 IP地址是到达路由器一个接口的 IP地址,经过路由器的数据包不会在 input-chains处理。 forward 用于处理通过路由器的数据包 output 用于处理源于路由器并从其中一个接口出去的数据包。 当处理一个 chain(数据链),策略是从 chain列表的顶部从上而下执行的。即先进先出法(First In First Out)如图:我们通过先进先出法可以理解到,过滤数据时我们可以通过以下的两种原则“先丢弃后接受和先接受后丢弃”:现在我来看事例中的防
4、火墙规则,我先从 input 链表开始,这里是对所有访问路由的数据进行过滤和处理:从 input链表中可以看到,我们对进入路由器的数据采用先拒绝非法的数据和连接,并将 ICMP数据跳转到自定义的 ICMP的链表中过滤。下面是 forward链表一个应用防火墙事例:forward链表,我们首先拒绝大多数机器狗访问的目标地址,然后跳转到机器狗链表中对相应的域名和 IP进行过滤,接下来是对非法数据包、TCP 连接数、非单播数据、ICMP 协议和常见的病毒等进行过滤。事例:下面是禁止任何地址通过 TCP/135端口访问到本地路由器,因为是访问本地路由器的数据,这里进入 input链表进行操作:禁止内网
5、 192.168.1.100的电脑上网,我们通过 forward链表进行控制:我们来看看 Jump操作在 forward链表中的工作过程:在 forward中数据遇到 jump规则,会判断数据是否符合定义 jump规则,如果满足条件将跳转到指定的链表,如上图的 ICMP和 virus链表,当在数据进入这些链表执行完后,会返回 jump规则所在的 forward链表中。IP Firewall协议深入解析TCP/IP协议和构架我们首先理解一下,TCP/IP 体系结构:(1)网络接口层 网络接口层,也被称为网络访问层,包括了能使用 TCP/IP与物理网络进行通信的协议,它对应 OSI的物理层和数据链
6、路层。TCP/IP 标准并没有定义具体的网络接口协议。具体的网络接口协议在实际应用的网络如Ethernet、ATM、FDDI、X.25、PPP、Token-Ring 等中定义。 (2)网络层 网络层是在 TCP/IP标准中正式定义的第一层。网络层所执行的主要功能是处理来自传输层的分组,将分组形成数据包(IP 数据包),并为该数据包进行路径选择,最终将数据包从源主机发送到目的主机,在网络层中,最常用是网络协议 IP,其他一些协议用来协助 IP的操作。 网络层的协议有:IP、ARP、RARP、ICMP、IGMP (3)传输层 TCP/IP的传输层也被称为主机至主机层,与 OSI的传输层类似,主要负
7、责主机到主机之间的端对端通信,该层使用了两种协议来支持两种数据的传送方法,即 TCP协议和 UDP协议。 (4)应用层 在 TCP/IP模型中,应用程序接口是最高层,它与 OSI模型中的高三层的任务相同,用于提供网络服务,比如文件传输、远程登录、域名服务和简单网络管理等。我们的 RouterOS 中,ip firewall filter 主要负责的是网络层、传输层和应用层,网络接口层则由 bridge filter负责处理。我们从上面的图看到,在 RouterOS的 filter规则中,可以找到 Protocol(协议)的选项,我们可以根据情况,选择自己需要的协议。TCP/IP协议是一族协议,
8、包括上百个互为关联的协议,不同功能的协议分布在不同的协议层, 下面是几个常用协议: 一、网际层协议 IP:网际协议 ARP:地址解析协议 RARP:反向地址解析协议 ICMP/ICMPv6:Internet 消息控制协议 IPCP and IPv6CP:IP 控制协议和 IPV6控制协议 IGMP:Internet 组管理协议 二、传输层协议 TCP:传输控制协议 UDP:用户数据报协议 RDP:可靠数据协议,RDP 是一种面向连接的传输协议,其主要设计来为主机监控应用程序如下载 / 上传以及远程调试进行有效的大批数据传输。 RUDP:可靠用户数据报协议,RUDP 用于传输 IP 网络间的电话
9、信号。 三、应用层协议应用层协议 HTTP:超文本传输协议,用于 Internet中的客户机与 WWW服务器之间的数据传输 DHCP:动态主机配置协议,实现对主机的地址分配和配置工作 DNS:域名系统(服务)系统,用于实现主机名与 IP地址之间的映射 FTP:文件传输协议,实现主机之间的文件传送 TFTP:简单文件传输协议 TELNET:TCP/IP 终端仿真协议(又称远程登录协议),本地主机作为仿真终端,登录到远程主机上运行应用程序 SMTP:简单邮件传输协议,实现主机之间电子邮件的传送; IMAP4:因特网信息访问协议,用于访问存储在邮件服务器系统内的电子邮件和电子公告板信息。 POP(P
10、OP3):邮局协议,用于用户与服务器之间进行邮件的收发。 SNMP:简单网络管理协议,实现网络的管理 NNTP:网络新闻传输协议 UUCP:Unix 到 Unix的拷贝程序 BOOTP:引导协议,用于无盘主机或工作站的启动 NFS:网络文件系统,实现主机之间的文件系统的共享 NAT:网络地址转换 IRCP/IRC:因特网在线聊天协议 LDAP:轻量级目录访问协议 NTP:网络时间协议 RLOGIN:远程登录命令,仅支持 Unix到 Unix的连接。 RMON:远程监控 RWhois:远程目录访问协议 SLP:服务定位协议 SNTP:简单网络时间协议 Finger:用户信息协议IP源地址和目标地
11、址概念如何判断源地址和目标地址,与他们在 ip firewall filter的链表,我们先看看下面的图:我们从该图上可以看到,内网主机 192.168.10.88与路由器 192.168.10.1通信的情况,内网主机 192.168.10.88向路由和外网的 web服务器时,不同情况下源目标 IP地址的转变和使用的 chain链表情况。注:在这里要记住任何通信是双向的,而不仅只有源到目标一条链路。在 RouterOS中两个选择涉及到源和目标地址,General 标签中的 src-address、dst-address 和 Advanced的 src-address-list、dst-addr
12、ess-list如下图:Src-address和 dst-address可以支持子网格式,同样支持一段连续的地址如:“192.168.10.10-192.168.10.100”。在 src-address-list和 dst-address-list里需要调用/ip firewall address-list 的地址列表,通过该地址列表可以设置不同地址段和不连续的 IP地址。试验:1、 允许 192.168.10.9和 192.168.10.15能访问外网,禁止其他地址访问外网数据2、 路由器有两段内网 IP地址 192.168.10.0/24和 192.168.11.0/24,禁止这两个地址
13、段互访,但允许 192.168.10.9访问 192.168.11.9的主机病毒和应用程序过滤在 RouterOS中能做到内容过滤,即 content,对一些明文传输的字符进行过滤,特别是 web中的内容上面是一个过滤 的域名过滤至于最新的机器狗病毒我们可以通过导入机器狗的存在的病毒地址和域名进行过滤,我们在对机器狗目标地址过滤时调用了 address-list的地址列表。我们在下图中,我们看到对机器狗的目标地址控制我们设置了 dst-address-list选择 Robotdog,而 Robotdog定义则是在 ip firewall address-list中定义:在 address-li
14、st常用于某一组相同类型或属性的 IP地址,但这些又不连续,则可以通过 address-list来定义。以上的防火墙规则,可以在http:/ RouterOS3.0中增加了 Layer7协议过滤功能,即对应用程序的代码进行过滤,这些代码我们通过 Regexp的脚本进行编辑,也可以通过我们预先编辑好的RouterOS脚本导入 Layer7协议应用列表(下载http:/ ip firewall filter中调用,操作如下:我们可以同上面的列表看到,RouterOS 的 Layer7协议能对常见的网络协议、网络程序和游戏进行操作,根据我们需要进行拒绝、接受和跳转等。RouterOS 防火墙规则操作
15、相对比较灵活,相应的操作人员能掌握常见的网络协议和原理,操作中需要根据不同情况进行自定义,特别是防火墙前中上下结构能灵活的处理。试验: 1. 禁止内网访问外网端口 TCP和 UDP445端口 2. 禁止访问含关键字的 的内容 3. 通过在 filter forward配置一条规则,禁止内网用户访问一下地址:61.133.1.33、128.22.31.234、125.23.11.123、69.23.113.1 4. 通过 L7协议禁止 192.168.10.9的主机访问 MSN和 QQWeb Proxy代理过滤 HTTP信息RouterOS支持 Web代理功能,并能对 HTTP的相关内容进行控制
16、。通过在RouterOS配置的 Web代理功能过滤 HTTP信息比起 ip firewall filter中的content更为有效和准确。我们可以控制的 HTTP内容如: 网站 禁止不允许客户访问的网站,如 文件下载 通过禁止“.mp3, .exe, .dat, .avi”等后缀名的文件下载和访问 含关键字符的网站 我们通过禁止目标主机的关键字,如含 mail的网站。启用 Web代理后,路由器将通过指定的端口代理访问外网,如果你只需要使用过滤功能,可以不需要启用 Web缓存功能。试验: 1. 禁止下载“.rar”和“.zip”的文件 2. 禁止 192.168.10.12的主机访问 163的网站
