RouterOS防火墙与过滤详解(四)

IP源地址和目标地址概念 如何判断源地址和目标地址，与他们在ip firewall filter的链表，我们先看看下面的图： 我们从该图上可以看到，内网主机192.168.10.88与路由器192.168.10.1通信的情况，内网主机192.168.10.88向路由和外网的web服务器时，不同情况下源目标IP地址的转变和使用的chain链表情况。 注：在这里要记住任何通信是双向的，而不仅只有源到目标一条链路。 在RouterOS中两个选择涉及到源和目标地址，General标签中的src-address、dst-address和Advanced的src-address-list、dst-address-list如下图： rc-address和dst-address可以支持子网格式，同样支持一段连续的地址如：“192.168.10.10-192.168.10.100”。在src-address-list和dst-address-list里需要调用/ip firewall address-list的地址列表，通过该地址列表可以设置不同地址段和不连续的IP地址。 试验： 允许192.168.10.9和192.168.10.15能访问外网，禁止其他地址访问外网数据 路由器有两段内网IP地址192.168.10.0/24和192.168.11.0/24，禁止这两个地址段互访，但允许192.168.10.9访问192.168.11.9的主机 病毒和应用程序过滤 在RouterOS中能做到内容过滤，即content，对一些明文传输的字符进行过滤，特别是web中的内容 上面是一个过滤www.test.com的域名过滤 至于最新的机器狗病毒我们可以通过导入机器狗的存在的病毒地址和域名进行过滤，我们在对机器狗目标地址过滤时调用了address-list的地址列表。 我们在下图中，我们看到对机器狗的目标地址控制我们设置了dst-address-list选择Robotdog，而Robotdog定义则是在ip firewall address-list中定义： 在address-list常用于某一组相同类型或属性的IP地址，但这些又不连续，则可以通过address-list来定义。以上的防火墙规则，可以在http://www.mikrotik.com.cn/softlist.aspx?classid=1下载到。 在RouterOS3.0中增加了Layer7协议过滤功能，即对应用程序的代码进行过滤，这些代码我们通过Regexp的脚本进行编辑，也可以通过我们预先编辑好的RouterOS脚本导入Layer7协议应用列表（下载） 我们可以同在ip firewall filter中调用，操作如下 我们可以同上面的列表看到，RouterOS的Layer7协议能对常见的网络协议、网络程序和游戏进行操作，根据我们需要进行拒绝、接受和跳转等。 RouterOS防火墙规则操作相对比较灵活，相应的操作人员能掌握常见的网络协议和原理，操作中需要根据不同情况进行自定义，特别是防火墙前中上下结构能灵活的处理。 试验： 禁止内网访问外网端口TCP和UDP445端口 禁止访问含关键字的163.com的内容 通过在filter forward配置一条规则，禁止内网用户访问一下地址：61.133.1.33、128.22.31.234、125.23.11.123、69.23.113.1 通过L7协议禁止192.168.10.9的主机访问MSN和QQ Web Proxy代理过滤HTTP信息 RouterOS支持Web代理功能，并能对HTTP的相关内容进行控制。通过在RouterOS配置的Web代理功能过滤HTTP信息比起ip firewall filter中的content更为有效和准确。我们可以控制的HTTP内容如： 网站– 禁止不允许客户访问的网站，如 www.test.com 文件下载 – 通过禁止“.mp3, .exe, .dat, .avi”等后缀名的文件下载和访问 含关键字符的网站 – 我们通过禁止目标主机的关键字，如含mail的网站。 启用Web代理后，路由器将通过指定的端口代理访问外网，如果你只需要使用过滤功能，可以不需要启用Web缓存功能。 试验： 禁止下载“.rar”和“.zip”的文件 禁止192.168.10.12的主机访问163的网站