釐清postrouting與prerouting

gfx86674

角色

回復 1# gfx86674

CHing是否忘记补充材料？

gfx86674

其實解釋起來很容易,
Router從WAN收到封包後只有兩個處理方向: 1.留給自己 2.轉發給區域網路的電腦
自用的:就簡單區分成輸入(input) /輸出(output)
轉發的:就用(forward)攘括一切,沒有輸入/輸出區分

以上...都是封包停留在Router內,對chain的解釋.

但封包在進入Router的WAN之前呢?
這範圍就廣了,有可能是要給Router,也可能是給區網內的電腦.
所以我們用prerouting標示攘括這一切的封包.

有進自然有出,既然封包在進入WAN前我們用prerouting來標示;
那從WAN出去的所有封包,不分是Router或區網電腦的,都改由postrouting標示.

角色

真的非常佩服CHing，把很多复杂的东西，用适当的图搞定！

在CCNA里都没有讲这些东西，难度CHing的专业是计算机专业？（都是傻猜！）

Ching，在“FORWARD"上面是什么字？因为被挡住，谢谢。

gfx86674

真的非常佩服CHing，把很多复杂的东西，用适当的图搞定！

在CCNA里都没有讲这些东西，难度CHing的专业是计 ...
角色 發表於 2018-2-12 01:15

filter :在firewall filter對電腦阻擋封包的chain,是用forward.

由上圖得知filter只出現在三個區塊,分別是input/output/forward
所以有個惡意來源地址1.1.1.1 ,標示位置在input,那防火牆只能作用在Router,
防火牆並不會阻擋1.1.1.1封包轉發到區網裡...除非你再指定區網位置(forward)也不行

所以1.1.1.1封包進入WAN內以後,
想要安全必定該禁兩個方向,firewall filter得設兩種型態才可以.

而最省事的方法即1.1.1.1封包在進入Router的WAN前就先擋下,
這樣1.1.1.1封包就不會在Router內跑出兩種路徑.
而在WAN之前的chain,標示即prerouting

但firewall filter的chain裡並沒有prerouting ,
可得知firewall filter只能管裡在Router內的,在外的完全沒有辦法.

所以想擋WAN外面的封包,得換位置設.在/ip firewall raw設置.
用chain=prerouting對來源1.1.1.1進行drop的動作,那是真的無條件封殺,那裡都去不了.

角色

以前看到“raw”都不知道有什么用，现在看到CHing帖子，看回看去Manual就变得明白多一些。

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

谢谢CHing。

gfx86674

/ip firewall raw的權力超大,
因為chain用的是prerouting,是設置WAN外面的.

/ip firewall nat的dst-nat可以將外部連線轉發到您的內網Server,
若您action設置no-track ,這個轉發會被刪掉.
從上圖看封包會強制往Router(路徑A),不會往內網Server去(路徑B被砍掉了)

no-track還有一個可怕的點,即它也有類似drop的能力.
上述說原本路徑應到B,卻往A送? 這連線能成立嗎?
超過10秒沒回應的tcp/udp封包會被Router丟棄,這同樣也達成封鎖的效果.

角色

以前我学习RouterOS，如果单看MikroTik的Manual，是很难懂！！！（他们好像假设我们都懂网络，很多基本的概念都不说）例如：

https://wiki.mikrotik.com/wiki/Manualacket_Flow

就如上面的图，以前跟本都看不懂！现在呢？只懂一点点。如今再加上CHing上面的信息，就再加深一层认识。现在回看“Linux iptables Pocket Reference” and “Linux Firewalls”来巩固这方面的信息。

谢谢CHing的引导和启发关于Prerouting，Postrouting的基本知识。

在网上我也找到关于raw的信息：
https://askubuntu.com/questions/ ... forward-in-iptables