電訊茶室's Archiver

gfx86674 發表於 2013-5-30 10:55

釐清postrouting與prerouting

[i=s] 本帖最後由 gfx86674 於 2018-2-12 00:58 編輯 [/i]

[img]https://dl.dropboxusercontent.com/u/34743921/postrouting.png[/img]

角色 發表於 2018-2-11 16:56

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33673&ptid=5654]1#[/url] [i]gfx86674[/i] [/b]

CHing是否忘记补充材料?:lol

gfx86674 發表於 2018-2-12 00:42

[i=s] 本帖最後由 gfx86674 於 2018-2-12 01:02 編輯 [/i]

[img]https://i.imgur.com/rU646cI.gif[/img]
其實解釋起來很容易,
Router從WAN收到封包後只有兩個處理方向: 1.留給自己 2.轉發給區域網路的電腦
自用的:就簡單區分成輸入(input) /輸出(output)
轉發的:就用(forward)攘括一切,沒有輸入/輸出區分

以上...都是封包停留在Router內,對chain的解釋.

但封包在進入Router的WAN之前呢?
這範圍就廣了,有可能是要給Router,也可能是給區網內的電腦.
所以我們用prerouting標示攘括這一切的封包.

有進自然有出,既然封包在進入WAN前我們用prerouting來標示;
那從WAN出去的所有封包,不分是Router或區網電腦的,都改由postrouting標示.

角色 發表於 2018-2-12 01:15

真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!

在CCNA里都没有讲这些东西,难度CHing的专业是计算机专业?(都是傻猜!:L)

Ching,在“FORWARD"上面是什么字?因为被挡住,谢谢。

gfx86674 發表於 2018-2-12 01:24

[i=s] 本帖最後由 gfx86674 於 2018-2-12 02:52 編輯 [/i]

[quote]真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!

在CCNA里都没有讲这些东西,难度CHing的专业是计 ...
[size=2][color=#999999]角色 發表於 2018-2-12 01:15[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44236&ptid=5654][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote][size=4]filter[/size] :在firewall filter對電腦阻擋封包的chain,是用forward.

由上圖得知filter只出現在三個區塊,分別是input/output/forward
所以有個惡意來源地址1.1.1.1 ,標示位置在input,那防火牆只能作用在Router,
防火牆並不會阻擋1.1.1.1封包轉發到區網裡...除非你再指定區網位置(forward)也不行

所以1.1.1.1封包進入WAN內以後,
想要安全必定該禁兩個方向,firewall filter得設兩種型態才可以.

而最省事的方法即1.1.1.1封包在進入Router的WAN前就先擋下,
這樣1.1.1.1封包就不會在Router內跑出兩種路徑.
而在WAN之前的chain,標示即prerouting

但firewall filter的chain裡並沒有prerouting ,
可得知firewall filter只能管裡在Router內的,在外的完全沒有辦法.

所以想擋WAN外面的封包,得換位置設.在/ip firewall raw設置.
用chain=prerouting對來源1.1.1.1進行drop的動作,那是真的無條件封殺,那裡都去不了.

角色 發表於 2018-2-12 10:00

以前看到“raw”都不知道有什么用,现在看到CHing帖子,看回看去Manual就变得明白多一些。

[url]https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw[/url]

谢谢CHing。

gfx86674 發表於 2018-2-12 11:15

[i=s] 本帖最後由 gfx86674 於 2018-2-12 11:20 編輯 [/i]

/ip firewall raw的權力超大,
因為chain用的是prerouting,是設置WAN外面的.

/ip firewall nat的dst-nat可以將外部連線轉發到您的內網Server,
若您action設置no-track ,這個轉發會被刪掉.
從上圖看封包會強制往Router(路徑A),不會往內網Server去(路徑B被砍掉了)

no-track還有一個可怕的點,即它也有類似drop的能力.
上述說原本路徑應到B,卻往A送? 這連線能成立嗎?
超過10秒沒回應的tcp/udp封包會被Router丟棄,這同樣也達成封鎖的效果.

角色 發表於 2018-2-12 12:57

[i=s] 本帖最後由 角色 於 2018-2-12 14:21 編輯 [/i]

以前我学习RouterOS,如果单看MikroTik的Manual,是很难懂!!!(他们好像假设我们都懂网络,很多基本的概念都不说)例如:

[url]https://wiki.mikrotik.com/wiki/Manual:Packet_Flow[/url]

就如上面的图,以前跟本都看不懂!现在呢?只懂一点点。如今再加上CHing上面的信息,就再加深一层认识。现在回看“Linux iptables Pocket Reference” and “Linux Firewalls”来巩固这方面的信息。

谢谢CHing的引导和启发关于Prerouting,Postrouting的基本知识。

在网上我也找到关于raw的信息:
[url]https://askubuntu.com/questions/579231/whats-the-difference-between-prerouting-and-forward-in-iptables[/url]

頁: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.