普及贴：防火墙重要名词

用易-小卢

# y9 t: x& A# ^
6 E& k4 C$ a5 o$ a

1.input:    进入路由器，是指发往routeros自己的数据（也就是目的ip是routeros接口中的一个ip地址）

2.output: 从路由器出发，是指从routeros发出去的数据（也就是数据包源ip是routeros接口中的一个ip地址）

3.forward: 经路由转发中是指通过routeros转发的（比如你内部计算机访问外部网络，数据需要通过你的routeros，进行转发出去

5.prerouting: 路由之前，就是说，在数据包进入路由表之间的链表或解为：进路由前处理

在设置mangel时prerouting 后选 src-address=IPsrc-address就是在路由前的地址处理的效果

6.Postrouting: 路由之后，就是数据包已经确立了路由之后的链表或解为：出路由后处理

在设置mangel时Postrouting后选 dst-address=IP dst-address就是在路由后的地址的得理效果

7.passthrough与accept和reject与drop的区别：

Passthrough解为：passthrough的规则执行后，还可以进入下一条规则

Accept       解为：accept之后的数据包，不会在进入下一条规则。

• accept - accept the packetapplying the appropriate attributes (marks, MSS), and no more rules areprocessed in the list

• passthrough - apply theappropriate attributes (marks, MSS), and go on to the next rule

更详细解释为：

accept
解释为接受：引申意思就是接受检查，所以检查完了也就完了——即不再继续检查了

ROS解释就是，当符合条件后就不再执行下一条检查了——已经算拿到了通行证！

passthrough解释为机器转移归向,通过如果你查一下流体方面的词典，（计算机的网络同样是处理流体的—数据流）你会发现大部分的解释是旁通，其引申意思是不做处理，因此还要继续检查

ROS来解释就是，这个先让它过，但有可能还要接受后面的检查——谁让你走后门，不按规矩拿通行证呢！

reject拒绝, 抵制, 否决, 呕出, 驳回, 丢弃

drop使结束, 不再讨论, 停止与(某人)交往

这两个一起讨论，当你追一个
  ]# I, T6 _% gMM失败的时候通常就有两种情况：

第1种、对方立刻说：“不行，我有男朋友了，而且下月就结婚”，哈哈，你仍有非常渺茫的希望

第2种、对方干脆连理都懒得理你，这表示你根本没戏！

/ _6 r; k* g; @* K+ PROS的解释：

reject拒绝, 抵制, 否决, 驳回，相当于第1种情况，明确告诉你，另选名花吧，ROS是通过ICMP消息通知被拒绝的

drop使结束, 不再讨论, 相当于第2种情况，没有明确通知，不理你，就看你的自知之名了。。。哈哈

虽然都是将包丢弃，但态度是不一样的，前者通常用于对完全控制的内部网络，如企业中，可以以这种方式通知分公司的管理员，这样的网络访问是公司规定禁止的。

而后者针对的是不可预知的网络，尤其是黑客机器的包，如果漠不作声，对方就有可能不会发现你的存在，从而不会产生非分之想了

Mangle：vt.乱砍, 撕裂, 破坏, 毁损, 损坏, 轧布，我理解为：把数据重新修改后包装处理与标记mark-routing

这个词表达的意思是，会对数据包的一些传输特性进行修改，在mangle表中允许的操作是 TOS、TTL、MARK。也就是说，今后只要我们见到这个词能理解它的作用就行了。

另一些小记：

把RoutreOS的服务开与关倒过来：/toolbandwidth-server set enabled=no  

9 A; T$ ^! ]! L% E0 Z- B4 c

Src-address与dst-address in-interface 与out-interface 解释与实际应用区别

说明：映射与数据流是同一方向时，禁止Action=Drop才算生效！

src-address 发送数据的IP地址/或数据将出发的IP地址

dst-address  接收数据的IP地址/或数据将到达的IP地址

in-interface  进入的网卡    out-interface 出去的网卡

测试环境：内网机器号为192.168.0.6，然后从此机器ping61.144.56.101，与radmin外网访问内网0.6

          外网Home机器是VPN拨入，并远程radmin  0.6号机。

一．当src-address=192.168.0.6，选择in与out和选择nei与wai将产生的情况如下：

1.src-address=192.168.0.6     in-interface=nei         ping断     radmin断

ip firewall filter add chain=forward src-address=192.168.0.6 in-interface=nei action=drop
( ]. e9 ?9 d- ~" c+ ~! D( @
5 }+ c. t( ?( g; r; L
. _) k% |6 D4 z

2. src-address=192.168.0.6     in-interface=wai        ping通

ipfirewall filter add chain=forward src-address=192.168.0.6 in-interface=wai action=drop

' \! C, [% {$ f0 F6 N

3.src-address=192.168.0.6       out-interface=nei      ping通           radmin通

ip firewall filter add chain=forward src-address=192.168.0.6out-interface=nei action=drop

4. src-address=192.168.0.6        out-interface=wai       ping断          radmin通

5 x$ I# C" ~5 A! g! o6 l0 s! D

ipfirewall filter add chain=forward src-address=192.168.0.6 out-interface=waiaction=drop

' y/ n$ ?3 _6 k# N$ J

二．当DST-address=192.168.0.6，选择in与out和选择nei与wai将产生的情况如下：

1. dst-address=192.168.0.6        in-interface=nei        ping通

ip firewall filter add chain=forward dst-address=192.168.0.6 in-interface=nei action=drop

  S8 Z5 f- t, g) _+ M% N! ~% f* q2 u. V

2. dst-address=192.168.0.6      in-interface=wai       ping断        radmin通

ip firewall filter add chain=forwarddst-address=192.168.0.6 in-interface=waiaction=drop

) p) B  Z! B/ I3 q+ B9 C3 H

3. dst-address=192.168.0.6      out-interface=nei       ping断       radmin断

ip firewall filter add chain=forwarddst-address=192.168.0.6 out-interface=nei action=drop

9 [% s4 o& V" l" J& i" M
9 c+ m$ o4 G' B2 i# {

) }) K5 j4 a+ j( q) ^; E' Q7 w$ ~

4. dst-address=192.168.0.6      out-interface=wai      ping 通    radmin 通

ipfirewall filter add chain=forward dst-address=192.168.0.6 out-interface=waiiaction=drop

% g1 A3 I  n, G# d. z2 {

最后总结：箭头方向如果到达同一位置，即ping与radmin都不通。

az6338890

好东西，ros的名词确实有时候很难理解