1、RouterOS 防火墙与过滤详解(四) IP 源地址和目标地址概念如何判断源地址和目标地址,与他们在 ip firewall filter 的链表,我们先看看下面的图:我们从该图上可以看到,内网主机 192.168.10.88 与路由器 192.168.10.1 通信的情况,内网主机 192.168.10.88 向路由和外网的 web 服务器时,不同情况下源目标 IP 地址的转变和使用的 chain 链表情况。注:在这里要记住任何通信是双向的,而不仅只有源到目标一条链路。在 RouterOS 中两个选择涉及到源和目标地址,General 标签中的 src-address、dst-addres
2、s 和 Advanced 的 src-address-list、dst-address-list如下图:rc-address 和 dst-address 可以支持子网格式,同样支持一段连续的地址如:“192.168.10.10-192.168.10.100”。在 src-address-list 和 dst-address-list 里需要调用/ip firewall address-list 的地址列表,通过该地址列表可以设置不同地址段和不连续的 IP 地址。试验: 1. 允许 192.168.10.9 和 192.168.10.15 能访问外网,禁止其他地址访问外网数据 2. 路由器有两段
3、内网 IP 地址 192.168.10.0/24 和 192.168.11.0/24,禁止这两个地址段互访,但允许 192.168.10.9 访问 192.168.11.9 的主机病毒和应用程序过滤在 RouterOS 中能做到内容过滤,即 content,对一些明文传输的字符进行过滤,特别是 web 中的内容上面是一个过滤 的域名过滤至于最新的机器狗病毒我们可以通过导入机器狗的存在的病毒地址和域名进行过滤,我们在对机器狗目标地址过滤时调用了 address-list 的地址列表。我们在下图中,我们看到对机器狗的目标地址控制我们设置了 dst-address-list 选择 Robotdog
4、,而 Robotdog 定义则是在 ip firewall address-list 中定义:在 address-list 常用于某一组相同类型或属性的 IP 地址,但这些又不连续,则可以通过 address-list 来定义。以上的防火墙规则,可以在http:/ 下载到。在 RouterOS3.0 中增加了 Layer7 协议过滤功能,即对应用程序的代码进行过滤,这些代码我们通过 Regexp 的脚本进行编辑,也可以通过我们预先编辑好的RouterOS 脚本导入 Layer7 协议应用列表(下载)我们可以同在 ip firewall filter 中调用,操作如下我们可以同上面的列表看到,R
5、outerOS 的 Layer7 协议能对常见的网络协议、网络程序和游戏进行操作,根据我们需要进行拒绝、接受和跳转等。RouterOS 防火墙规则操作相对比较灵活,相应的操作人员能掌握常见的网络协议和原理,操作中需要根据不同情况进行自定义,特别是防火墙前中上下结构能灵活的处理。试验: 1. 禁止内网访问外网端口 TCP 和 UDP445 端口 2. 禁止访问含关键字的 的内容 3. 通过在 filter forward 配置一条规则,禁止内网用户访问一下地址:61.133.1.33、128.22.31.234、125.23.11.123、69.23.113.1 4. 通过 L7 协议禁止 1
6、92.168.10.9 的主机访问 MSN 和 QQWeb Proxy 代理过滤 HTTP 信息RouterOS 支持 Web 代理功能,并能对 HTTP 的相关内容进行控制。通过在RouterOS 配置的 Web 代理功能过滤 HTTP 信息比起 ip firewall filter 中的content 更为有效和准确。我们可以控制的 HTTP 内容如: 网站 禁止不允许客户访问的网站,如 文件下载 通过禁止“.mp3, .exe, .dat, .avi”等后缀名的文件下载和访问 含关键字符的网站 我们通过禁止目标主机的关键字,如含 mail 的网站。启用 Web 代理后,路由器将通过指定的端口代理访问外网,如果你只需要使用过滤功能,可以不需要启用 Web 缓存功能。试验: 1. 禁止下载“.rar”和“.zip”的文件 2. 禁止 192.168.10.12 的主机访问 163 的网站
