MikrotikRouterOS的防火墻簡介-從零開始學(xué)R

為了更好的理解RouterOS的防火墻，特地給大家補(bǔ)一下科學(xué)知識，ROS的防火墻，其實運作的就是iptables，也為四表五鏈。這篇文章教你快速理解ROS的防火墻，看懂了也就懂iptables是什么原理了。

成都創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計、成都網(wǎng)站制作、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)平谷,10多年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18982081108

四表五鏈大致如下。

1.四表：

Raw表——關(guān)閉連接追蹤機(jī)制。用在prerouting，output鏈上。

Mangle表——拆解報文，分析報文，修改報文。用在prerouting，input，forward，output，postrouting鏈路上。

Nat表——網(wǎng)絡(luò)地址轉(zhuǎn)換，用在prerouting，output，postrouting鏈路上。

Filter表——負(fù)責(zé)過濾功能，用在input，forward，output鏈路上。

每個表優(yōu)先級：

Raw—>Mangle—>Nat—>Filter

2.五鏈

A.input——進(jìn)來的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略

（經(jīng)過了第一次路由選擇的數(shù)據(jù)包）

B.output

——外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略

（經(jīng)過了第二次路由選擇的數(shù)據(jù)包）

C.forward

——轉(zhuǎn)發(fā)數(shù)據(jù)包時應(yīng)用此規(guī)則鏈中的策略

（經(jīng)過了第一次路由選擇的數(shù)據(jù)包）

D.prerouting

——對進(jìn)來的數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則（還沒有經(jīng)過任何路由選擇的所有數(shù)據(jù)包進(jìn)來的時侯都先由這個鏈處理）

E.postrouting

——對出去的數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則（經(jīng)過了所有的路由選擇的所有數(shù)據(jù)包出來的時侯都先由這個鏈處理）

先看五鏈的圖：

也許有人會問，為什么要判斷兩次路由呢？

其實路由是判斷這個數(shù)據(jù)從哪里來到哪里去，要不要路由器出手干活，可以這么理解:

A.目的IP是路由器，但是不需要內(nèi)核處理的數(shù)據(jù)，如內(nèi)網(wǎng)對內(nèi)網(wǎng)，只要經(jīng)過一次判斷就一條直線傳出去了。

B.目的IP是路由器，且需要內(nèi)核處理的數(shù)據(jù)，如內(nèi)網(wǎng)對公網(wǎng)、公網(wǎng)對內(nèi)網(wǎng)，都要拐個彎處理。因為涉及修改IP數(shù)據(jù)的處理。

所以，第一次是判斷是否要路由器出手處理，第二次是修改完IP數(shù)據(jù)之后決定往哪個接口（網(wǎng)關(guān)）上面送數(shù)據(jù)。慢慢理解，不要急。

然后就是ROS里面用的鏈和表的關(guān)系圖，告訴你鏈可以在哪里被處理。

看起來還是很煩，那么如何選用合適的鏈處理規(guī)則呢？

五鏈可以這樣快速理解：

A.——處理進(jìn)來路由器的的數(shù)據(jù)包。（目的IP在路由器上的）

B.output——處理從路由器出去的數(shù)據(jù)包。

C.forward——數(shù)據(jù)包源IP和目的IP都不在路由器上的。

D.prerouting——外面進(jìn)來路由器接口的數(shù)據(jù)包。

E.postrouting——路由器從接口送出去的數(shù)據(jù)包。

這樣子就很好理解了。

以上就是RouterOS的防火墻一個大致處理過程。

3.規(guī)則是怎么處理的

任何數(shù)據(jù)經(jīng)過路由器都會經(jīng)過鏈?zhǔn)教幚恚覀冊诤线m的地方配置規(guī)則，匹配了，就可以進(jìn)行相應(yīng)的處理。

那么怎么選擇合適的鏈路進(jìn)行配置，配置的處理動作又有那些呢？下一章節(jié)我們開始介紹下ROS防火墻的每個表是如何設(shè)置規(guī)則的。

當(dāng)前文章：MikrotikRouterOS的防火墻簡介-從零開始學(xué)R
文章URL：http://m.jiaotiyi.com/article/isjsci.html