本帖最后由 用易-小卢 于 2016-9-19 17:28 编辑 " R8 r0 ]: h5 ]9 R
, V1 T, \1 R! l; K
1.input: 进入路由器,是指发往routeros自己的数据(也就是目的ip是routeros接口中的一个ip地址) 2.output: 从路由器出发,是指从routeros发出去的数据(也就是数据包源ip是routeros接口中的一个ip地址) 3.forward: 经路由转发中是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros,进行转发出去 5.prerouting: 路由之前,就是说,在数据包进入路由表之间的链表或解为:进路由前处理 在设置mangel时prerouting 后选 src-address=IPsrc-address就是在路由前的地址处理的效果 6.Postrouting: 路由之后,就是数据包已经确立了路由之后的链表或解为:出路由后处理 在设置mangel时Postrouting后选 dst-address=IP dst-address就是在路由后的地址的得理效果 7.passthrough与accept和reject与drop的区别: Passthrough解为:passthrough的规则执行后,还可以进入下一条规则 Accept 解为:accept之后的数据包,不会在进入下一条规则。 • accept - accept the packetapplying the appropriate attributes (marks, MSS), and no more rules areprocessed in the list • passthrough - apply theappropriate attributes (marks, MSS), and go on to the next rule 更详细解释为: accept
4 y' e! d" h2 Z解释为接受:引申意思就是接受检查,所以检查完了也就完了——即不再继续检查了
8 A& u- ]' J& G& j: _, ]4 iROS解释就是,当符合条件后就不再执行下一条检查了——已经算拿到了通行证! passthrough解释为机器转移归向,通过如果你查一下流体方面的词典,(计算机的网络同样是处理流体的—数据流)你会发现大部分的解释是旁通,其引申意思是不做处理,因此还要继续检查 ROS来解释就是,这个先让它过,但有可能还要接受后面的检查——谁让你走后门,不按规矩拿通行证呢! reject拒绝, 抵制, 否决, 呕出, 驳回, 丢弃 drop使结束, 不再讨论, 停止与(某人)交往 这两个一起讨论,当你追一个; L' I/ R i" @4 O5 f- Z
MM失败的时候通常就有两种情况:
1 X/ _9 d- Z9 p" \% j 第1种、对方立刻说:“不行,我有男朋友了,而且下月就结婚”,哈哈,你仍有非常渺茫的希望/ _$ q3 z' D" n! `! s
第2种、对方干脆连理都懒得理你,这表示你根本没戏!" }8 l; c" r$ U+ a6 ~9 m% y
6 {% d6 b! i8 _, D8 ?
ROS的解释: , L1 v& f7 w6 G5 N3 e
reject拒绝, 抵制, 否决, 驳回,相当于第1种情况,明确告诉你,另选名花吧,ROS是通过ICMP消息通知被拒绝的 drop使结束, 不再讨论, 相当于第2种情况,没有明确通知,不理你,就看你的自知之名了。。。哈哈 虽然都是将包丢弃,但态度是不一样的,前者通常用于对完全控制的内部网络,如企业中,可以以这种方式通知分公司的管理员,这样的网络访问是公司规定禁止的。 而后者针对的是不可预知的网络,尤其是黑客机器的包,如果漠不作声,对方就有可能不会发现你的存在,从而不会产生非分之想了 " K' P9 X; H& [+ i
Mangle:vt.乱砍, 撕裂, 破坏, 毁损, 损坏, 轧布,我理解为:把数据重新修改后包装处理与标记mark-routing 这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是 TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。
7 k5 ?/ R- p9 q {. c5 q3 V" P+ t, Z7 E% L, a% @5 Y. a$ C
另一些小记: 把RoutreOS的服务开与关倒过来:/toolbandwidth-server set enabled=no
| C: q9 z2 q" b6 A3 y# ESrc-address与dst-address in-interface 与out-interface 解释与实际应用区别 说明:映射与数据流是同一方向时,禁止Action=Drop才算生效! src-address 发送数据的IP地址/或数据将出发的IP地址 dst-address 接收数据的IP地址/或数据将到达的IP地址 in-interface 进入的网卡 out-interface 出去的网卡 测试环境:内网机器号为192.168.0.6,然后从此机器ping61.144.56.101,与radmin外网访问内网0.6 外网Home机器是VPN拨入,并远程radmin 0.6号机。 一.当src-address=192.168.0.6,选择in与out和选择nei与wai将产生的情况如下: 1.src-address=192.168.0.6 in-interface=nei ping断 radmin断 ip firewall filter add chain=forward src-address=192.168.0.6 in-interface=nei action=drop7 {- X2 O6 ^ c& M3 K
8 N( Z C, g6 I: s0 }6 V& o4 @3 p+ _4 p' f E4 X# @; }6 b0 E- W$ \9 C% m; A
2. src-address=192.168.0.6 in-interface=wai ping通 ipfirewall filter add chain=forward src-address=192.168.0.6 in-interface=wai action=drop
' |' M2 t3 s1 `" t3.src-address=192.168.0.6 out-interface=nei ping通 radmin通 ip firewall filter add chain=forward src-address=192.168.0.6out-interface=nei action=drop
; A7 G4 X3 n( u5 i4. src-address=192.168.0.6 out-interface=wai ping断 radmin通 ( Z, g5 X* q. l2 N$ o
ipfirewall filter add chain=forward src-address=192.168.0.6 out-interface=waiaction=drop
; h- T; ~8 f! `! }( ?二.当DST-address=192.168.0.6,选择in与out和选择nei与wai将产生的情况如下: 1. dst-address=192.168.0.6 in-interface=nei ping通 ip firewall filter add chain=forward dst-address=192.168.0.6 in-interface=nei action=drop , E* g7 ~1 H: t# Y& ^( d, `
2. dst-address=192.168.0.6 in-interface=wai ping断 radmin通 ip firewall filter add chain=forwarddst-address=192.168.0.6 in-interface=waiaction=drop
( {7 T% a6 ~6 g+ p; q b4 j8 m1 o2 Z8 ^+ S! W) \2 O) Z
9 W. ~/ H r1 }3. dst-address=192.168.0.6 out-interface=nei ping断 radmin断 ip firewall filter add chain=forwarddst-address=192.168.0.6 out-interface=nei action=drop
0 m! p/ X2 L4 R6 Q" n% J& K" l8 `
, `+ y# ^% \0 H' V1 \1 g
+ p2 N) _1 s& y ~2 }
4. dst-address=192.168.0.6 out-interface=wai ping 通 radmin 通 ) ~( y2 H8 x7 S; m2 W5 ^
ipfirewall filter add chain=forward dst-address=192.168.0.6 out-interface=waiiaction=drop
. ]7 S6 {( Y* w0 Y* j1 z& V9 ~* K0 l
* K* a! q6 z& m5 B! K+ ]# \* v8 ~) |. {9 \2 A: H# l O6 C
- a/ z) C: t4 [( @% R. I: ~
5 E! z! L- m- a; @0 i7 A( K6 k e; s3 C/ M3 Y4 P7 O' v: _
( g7 t# {0 h' B/ G& B( G
" X1 ~5 v9 G! Q- O N/ _; [
最后总结:箭头方向如果到达同一位置,即ping与radmin都不通。 |