普及贴：防火墙重要名词

用易-小卢

1.input:    进入路由器，是指发往routeros自己的数据（也就是目的ip是routeros接口中的一个ip地址）

2.output: 从路由器出发，是指从routeros发出去的数据（也就是数据包源ip是routeros接口中的一个ip地址）

3.forward: 经路由转发中是指通过routeros转发的（比如你内部计算机访问外部网络，数据需要通过你的routeros，进行转发出去

5.prerouting: 路由之前，就是说，在数据包进入路由表之间的链表或解为：进路由前处理

在设置mangel时prerouting 后选 src-address=IPsrc-address就是在路由前的地址处理的效果

6.Postrouting: 路由之后，就是数据包已经确立了路由之后的链表或解为：出路由后处理

在设置mangel时Postrouting后选 dst-address=IP dst-address就是在路由后的地址的得理效果

7.passthrough与accept和reject与drop的区别：

Passthrough解为：passthrough的规则执行后，还可以进入下一条规则

Accept       解为：accept之后的数据包，不会在进入下一条规则。

• accept - accept the packetapplying the appropriate attributes (marks, MSS), and no more rules areprocessed in the list

• passthrough - apply theappropriate attributes (marks, MSS), and go on to the next rule

更详细解释为：

accept
4 y' e! d" h2 Z解释为接受：引申意思就是接受检查，所以检查完了也就完了——即不再继续检查了
8 A& u- ]' J& G& j: _, ]4 i

ROS解释就是，当符合条件后就不再执行下一条检查了——已经算拿到了通行证！

passthrough解释为机器转移归向,通过如果你查一下流体方面的词典，（计算机的网络同样是处理流体的—数据流）你会发现大部分的解释是旁通，其引申意思是不做处理，因此还要继续检查

ROS来解释就是，这个先让它过，但有可能还要接受后面的检查——谁让你走后门，不按规矩拿通行证呢！

reject拒绝, 抵制, 否决, 呕出, 驳回, 丢弃

drop使结束, 不再讨论, 停止与(某人)交往

这两个一起讨论，当你追一个
MM失败的时候通常就有两种情况：
1 X/ _9 d- Z9 p" \% j

第1种、对方立刻说：“不行，我有男朋友了，而且下月就结婚”，哈哈，你仍有非常渺茫的希望

第2种、对方干脆连理都懒得理你，这表示你根本没戏！

ROS的解释：

reject拒绝, 抵制, 否决, 驳回，相当于第1种情况，明确告诉你，另选名花吧，ROS是通过ICMP消息通知被拒绝的

drop使结束, 不再讨论, 相当于第2种情况，没有明确通知，不理你，就看你的自知之名了。。。哈哈

虽然都是将包丢弃，但态度是不一样的，前者通常用于对完全控制的内部网络，如企业中，可以以这种方式通知分公司的管理员，这样的网络访问是公司规定禁止的。

而后者针对的是不可预知的网络，尤其是黑客机器的包，如果漠不作声，对方就有可能不会发现你的存在，从而不会产生非分之想了

Mangle：vt.乱砍, 撕裂, 破坏, 毁损, 损坏, 轧布，我理解为：把数据重新修改后包装处理与标记mark-routing

这个词表达的意思是，会对数据包的一些传输特性进行修改，在mangle表中允许的操作是 TOS、TTL、MARK。也就是说，今后只要我们见到这个词能理解它的作用就行了。

7 k5 ?/ R- p9 q  {

另一些小记：

把RoutreOS的服务开与关倒过来：/toolbandwidth-server set enabled=no  

  |  C: q9 z2 q" b6 A3 y# E

Src-address与dst-address in-interface 与out-interface 解释与实际应用区别

说明：映射与数据流是同一方向时，禁止Action=Drop才算生效！

src-address 发送数据的IP地址/或数据将出发的IP地址

dst-address  接收数据的IP地址/或数据将到达的IP地址

in-interface  进入的网卡    out-interface 出去的网卡

测试环境：内网机器号为192.168.0.6，然后从此机器ping61.144.56.101，与radmin外网访问内网0.6

          外网Home机器是VPN拨入，并远程radmin  0.6号机。

一．当src-address=192.168.0.6，选择in与out和选择nei与wai将产生的情况如下：

1.src-address=192.168.0.6     in-interface=nei         ping断     radmin断

ip firewall filter add chain=forward src-address=192.168.0.6 in-interface=nei action=drop

8 N( Z  C, g6 I: s0 }6 V& o4 @3 p+ _4 p' f

2. src-address=192.168.0.6     in-interface=wai        ping通

ipfirewall filter add chain=forward src-address=192.168.0.6 in-interface=wai action=drop

' |' M2 t3 s1 `" t

3.src-address=192.168.0.6       out-interface=nei      ping通           radmin通

ip firewall filter add chain=forward src-address=192.168.0.6out-interface=nei action=drop

; A7 G4 X3 n( u5 i

4. src-address=192.168.0.6        out-interface=wai       ping断          radmin通

ipfirewall filter add chain=forward src-address=192.168.0.6 out-interface=waiaction=drop

; h- T; ~8 f! `! }( ?

二．当DST-address=192.168.0.6，选择in与out和选择nei与wai将产生的情况如下：

1. dst-address=192.168.0.6        in-interface=nei        ping通

ip firewall filter add chain=forward dst-address=192.168.0.6 in-interface=nei action=drop

2. dst-address=192.168.0.6      in-interface=wai       ping断        radmin通

ip firewall filter add chain=forwarddst-address=192.168.0.6 in-interface=waiaction=drop

( {7 T% a6 ~6 g+ p; q  b

9 W. ~/ H  r1 }

3. dst-address=192.168.0.6      out-interface=nei       ping断       radmin断

ip firewall filter add chain=forwarddst-address=192.168.0.6 out-interface=nei action=drop

0 m! p/ X2 L4 R

4. dst-address=192.168.0.6      out-interface=wai      ping 通    radmin 通

ipfirewall filter add chain=forward dst-address=192.168.0.6 out-interface=waiiaction=drop

. ]7 S6 {( Y* w0 Y* j1 z& V9 ~* K0 l

* K* a! q6 z& m5 B! K


5 E! z! L- m- a; @0 i7 A( K

最后总结：箭头方向如果到达同一位置，即ping与radmin都不通。

az6338890

好东西，ros的名词确实有时候很难理解