釐清postrouting與prerouting
[i=s] 本帖最後由 gfx86674 於 2018-2-12 00:58 編輯 [/i][img]https://dl.dropboxusercontent.com/u/34743921/postrouting.png[/img] [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33673&ptid=5654]1#[/url] [i]gfx86674[/i] [/b]
CHing是否忘记补充材料?:lol [i=s] 本帖最後由 gfx86674 於 2018-2-12 01:02 編輯 [/i]
[img]https://i.imgur.com/rU646cI.gif[/img]
其實解釋起來很容易,
Router從WAN收到封包後只有兩個處理方向: 1.留給自己 2.轉發給區域網路的電腦
自用的:就簡單區分成輸入(input) /輸出(output)
轉發的:就用(forward)攘括一切,沒有輸入/輸出區分
以上...都是封包停留在Router內,對chain的解釋.
但封包在進入Router的WAN之前呢?
這範圍就廣了,有可能是要給Router,也可能是給區網內的電腦.
所以我們用prerouting標示攘括這一切的封包.
有進自然有出,既然封包在進入WAN前我們用prerouting來標示;
那從WAN出去的所有封包,不分是Router或區網電腦的,都改由postrouting標示. 真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!
在CCNA里都没有讲这些东西,难度CHing的专业是计算机专业?(都是傻猜!:L)
Ching,在“FORWARD"上面是什么字?因为被挡住,谢谢。 [i=s] 本帖最後由 gfx86674 於 2018-2-12 02:52 編輯 [/i]
[quote]真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!
在CCNA里都没有讲这些东西,难度CHing的专业是计 ...
[size=2][color=#999999]角色 發表於 2018-2-12 01:15[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=44236&ptid=5654][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote][size=4]filter[/size] :在firewall filter對電腦阻擋封包的chain,是用forward.
由上圖得知filter只出現在三個區塊,分別是input/output/forward
所以有個惡意來源地址1.1.1.1 ,標示位置在input,那防火牆只能作用在Router,
防火牆並不會阻擋1.1.1.1封包轉發到區網裡...除非你再指定區網位置(forward)也不行
所以1.1.1.1封包進入WAN內以後,
想要安全必定該禁兩個方向,firewall filter得設兩種型態才可以.
而最省事的方法即1.1.1.1封包在進入Router的WAN前就先擋下,
這樣1.1.1.1封包就不會在Router內跑出兩種路徑.
而在WAN之前的chain,標示即prerouting
但firewall filter的chain裡並沒有prerouting ,
可得知firewall filter只能管裡在Router內的,在外的完全沒有辦法.
所以想擋WAN外面的封包,得換位置設.在/ip firewall raw設置.
用chain=prerouting對來源1.1.1.1進行drop的動作,那是真的無條件封殺,那裡都去不了. 以前看到“raw”都不知道有什么用,现在看到CHing帖子,看回看去Manual就变得明白多一些。
[url]https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw[/url]
谢谢CHing。 [i=s] 本帖最後由 gfx86674 於 2018-2-12 11:20 編輯 [/i]
/ip firewall raw的權力超大,
因為chain用的是prerouting,是設置WAN外面的.
/ip firewall nat的dst-nat可以將外部連線轉發到您的內網Server,
若您action設置no-track ,這個轉發會被刪掉.
從上圖看封包會強制往Router(路徑A),不會往內網Server去(路徑B被砍掉了)
no-track還有一個可怕的點,即它也有類似drop的能力.
上述說原本路徑應到B,卻往A送? 這連線能成立嗎?
超過10秒沒回應的tcp/udp封包會被Router丟棄,這同樣也達成封鎖的效果. [i=s] 本帖最後由 角色 於 2018-2-12 14:21 編輯 [/i]
以前我学习RouterOS,如果单看MikroTik的Manual,是很难懂!!!(他们好像假设我们都懂网络,很多基本的概念都不说)例如:
[url]https://wiki.mikrotik.com/wiki/Manual:Packet_Flow[/url]
就如上面的图,以前跟本都看不懂!现在呢?只懂一点点。如今再加上CHing上面的信息,就再加深一层认识。现在回看“Linux iptables Pocket Reference” and “Linux Firewalls”来巩固这方面的信息。
谢谢CHing的引导和启发关于Prerouting,Postrouting的基本知识。
在网上我也找到关于raw的信息:
[url]https://askubuntu.com/questions/579231/whats-the-difference-between-prerouting-and-forward-in-iptables[/url]
頁:
[1]