10分钟学习写正则表达式和使用L7防火墙(以封WINBOX为例)

10分钟学习写正则表达式和使用L7防火墙(以封WINBOX为例) 此短文简单介绍使用了L7配合防火墙禁WINBOX登录,大家可以举一反三,封什么都是可以的,即使它的服务器地址或端口经常变化也一样能封. 我现在想禁WINBOX登录,假设WINBOX的端口经常变动或者也使用与网页一样的80端口(仅仅是假设一下),这时我就不能简单地用禁端口的方法来禁WINBOX.此时可以使用L7配合防火墙过滤器来禁WINBOX登录.下面是操作步步骤: 为了抓包方便,关闭WINBOX客户端机器上所有网络软件,再打开wireshark或ethereal来抓包.然后使用WINBOX登录路由器,此时抓包工具会抓到很多数据包,如图. 找到从winbox客户机(192.168.1.210)到routeros路由器(202.1.1.2)的第一个拥有Data字段的数据包.在此数据包中选中的部分即是WINBOX登录时的特征码,此例我们选DATA字段前5个字符应该可以了.这5个连续字符使用正则表达式表达即是x12x02x69x6ex64x65或者是x12x02ind.使用下面两条命令,你就不能再使用WINBOX登录路由器了. /ip firewall layer7-protocol add comment="" name=winbox regexp="\x12\x02\x69\x6e\x64" /ip firewall filter add chain=input layer7-protocol=winbox action=drop                      (因为使用winbox是进入路由器的连接,所以加到input链表,如果是封QQ或PPS等,过滤过则要加到forward链表) 这样就结束了,简单吧!