より良いファイアウォールRouterOSを理解するために、特別な科学的知識を修復するためにすべての人のために、ROSのファイアウォールは、実際には、操作がなく、4つの表のVチェーンのため、iptablesのです。この資料では、迅速原則が何であるかを知ることができますiptablesのを読んで、ROSのファイアウォールを理解して教えています。
表Vは、4本のチェーンをたどります。
表1. 4:
生のテーブル - 接続追跡メカニズムを閉じます。PREROUTING、出力チェーンで使用されます。
マングルテーブル - メッセージを変更し、パケット、パケット解析を分解。PREROUTING、入力、転送、出力、POSTROUTINGリンクで使用されます。
NATテーブル - PREROUTING、出力、POSTROUTINGリンクで使用されるネットワークアドレス変換。
フィルタテーブル - 入力に使用されるフィルタリングを担当し、前進、出力リンク。
各テーブルの優先度:
生- > Mangle-> NAT->フィルター
2. pentachain
着信パケットのアプリケーションA.input--このルールチェーン戦略
(第一パケットルーティング後)
B.output
- このルールチェーン戦略の発信データパケットのアプリケーション
(第2のデータパケットのルーティング後)
C.forward
- パケットを転送する際チェーンポリシーにこのルールが適用されます
(第一パケットルーティング後)
D.prerouting
- 前のルーティングルールへの着信パケットは、(適切なタイミングで到来する任意のさらなるルーティングパケットなしですべてのデータがチェーンによって最初に処理された)チェーンに適用します
E.postrouting
- あなたは、この連鎖を適用した後、パケットのルーティングルールのために外出する(すべてのデータの後に適切なタイミングでパケットアウトのルーティングのすべてが連鎖によって最初に処理されます)
図Vルックチェーン:
一部の人々は、なぜそれが二回ルートを決定する必要があり、求めることができますか?
実際には、ルートは、データがそう理解するために、仕事にルータを販売することを行く、またはしないようにどこから来たかを決定することです。
A.宛先IPルータが、それは直線の広がりアウトによって決定される限り、そのようなネットワーク内の内部ネットワークとして、データ処理コアを必要としません。
B.宛先IPルータ、およびそのような公衆網、Guaigeワン処理すべき公衆ネットワーク内部ネットワークなどのコアデータ処理ニーズ。プロセスは、IPデータを修正伴うため。
したがって、最初のショットは、ルータがIPを変更する上記送信データの終了後にどのインターフェース(ゲートウェイ)を決定するための第2を処理するかどうかが決定されます。徐々に、理解して心配しないでください。
そして、そこにチェーンとの関係図ROSであり、チェーンが処理できる場所を教えてくれ。
それでもそれは退屈に見えるので、どのように処理ルールの適切なチェーンを選択するには?
Pentachainはすぐにこれを理解することができます:
着信パケットを処理する.--ルータ。(ルータ上の送信先IP)
ルータの処理データパケットからB.output--。
ルータのC.forward--、パケットの送信元と送信先IPがオンになっていません。
ルータインターフェイスのうちD.prerouting--着信パケット。
インターフェースから送出さE.postrouting--ルータのパケットデータ。
この方法では、それはよく理解されています。
RouterOSファイアウォールは、一般的なプロセス以上のものです。
3.に対処する方法のルール
ルータを介して任意のデータがチェーンを通って処理されます、我々は適切な場合には、ルール設定、一致し、それに応じて処理することができます。
それでは、どのようにそこに行う者を処理動作の設定を構成するための適切なリンクを選択するには?次のセクションでは、我々は、各テーブルがROSのファイアウォール規則の下で設定されている起動方法について説明します。