Board logo

標題: 釐清postrouting與prerouting [打印本頁]
作者: gfx86674    時間: 2013-5-30 10:55     標題: 釐清postrouting與prerouting

本帖最後由 gfx86674 於 2018-2-12 00:58 編輯

作者: 角色    時間: 2018-2-11 16:56

回復 1# gfx86674

CHing是否忘记补充材料?
作者: gfx86674    時間: 2018-2-12 00:42

本帖最後由 gfx86674 於 2018-2-12 01:02 編輯


其實解釋起來很容易,
Router從WAN收到封包後只有兩個處理方向: 1.留給自己 2.轉發給區域網路的電腦
自用的:就簡單區分成輸入(input) /輸出(output)
轉發的:就用(forward)攘括一切,沒有輸入/輸出區分

以上...都是封包停留在Router內,對chain的解釋.

但封包在進入Router的WAN之前呢?
這範圍就廣了,有可能是要給Router,也可能是給區網內的電腦.
所以我們用prerouting標示攘括這一切的封包.

有進自然有出,既然封包在進入WAN前我們用prerouting來標示;
那從WAN出去的所有封包,不分是Router或區網電腦的,都改由postrouting標示.
作者: 角色    時間: 2018-2-12 01:15

真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!

在CCNA里都没有讲这些东西,难度CHing的专业是计算机专业?(都是傻猜!

Ching,在“FORWARD"上面是什么字?因为被挡住,谢谢。
作者: gfx86674    時間: 2018-2-12 01:24

本帖最後由 gfx86674 於 2018-2-12 02:52 編輯
真的非常佩服CHing,把很多复杂的东西,用适当的图搞定!

在CCNA里都没有讲这些东西,难度CHing的专业是计 ...
角色 發表於 2018-2-12 01:15
filter :在firewall filter對電腦阻擋封包的chain,是用forward.

由上圖得知filter只出現在三個區塊,分別是input/output/forward
所以有個惡意來源地址1.1.1.1 ,標示位置在input,那防火牆只能作用在Router,
防火牆並不會阻擋1.1.1.1封包轉發到區網裡...除非你再指定區網位置(forward)也不行

所以1.1.1.1封包進入WAN內以後,
想要安全必定該禁兩個方向,firewall filter得設兩種型態才可以.

而最省事的方法即1.1.1.1封包在進入Router的WAN前就先擋下,
這樣1.1.1.1封包就不會在Router內跑出兩種路徑.
而在WAN之前的chain,標示即prerouting

但firewall filter的chain裡並沒有prerouting ,
可得知firewall filter只能管裡在Router內的,在外的完全沒有辦法.

所以想擋WAN外面的封包,得換位置設.在/ip firewall raw設置.
用chain=prerouting對來源1.1.1.1進行drop的動作,那是真的無條件封殺,那裡都去不了.
作者: 角色    時間: 2018-2-12 10:00

以前看到“raw”都不知道有什么用,现在看到CHing帖子,看回看去Manual就变得明白多一些。

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

谢谢CHing。
作者: gfx86674    時間: 2018-2-12 11:15

本帖最後由 gfx86674 於 2018-2-12 11:20 編輯

/ip firewall raw的權力超大,
因為chain用的是prerouting,是設置WAN外面的.

/ip firewall nat的dst-nat可以將外部連線轉發到您的內網Server,
若您action設置no-track ,這個轉發會被刪掉.
從上圖看封包會強制往Router(路徑A),不會往內網Server去(路徑B被砍掉了)

no-track還有一個可怕的點,即它也有類似drop的能力.
上述說原本路徑應到B,卻往A送? 這連線能成立嗎?
超過10秒沒回應的tcp/udp封包會被Router丟棄,這同樣也達成封鎖的效果.
作者: 角色    時間: 2018-2-12 12:57

本帖最後由 角色 於 2018-2-12 14:21 編輯

以前我学习RouterOS,如果单看MikroTik的Manual,是很难懂!!!(他们好像假设我们都懂网络,很多基本的概念都不说)例如:

https://wiki.mikrotik.com/wiki/Manual\"\"acket_Flow

就如上面的图,以前跟本都看不懂!现在呢?只懂一点点。如今再加上CHing上面的信息,就再加深一层认识。现在回看“Linux iptables Pocket Reference” and “Linux Firewalls”来巩固这方面的信息。

谢谢CHing的引导和启发关于Prerouting,Postrouting的基本知识。

在网上我也找到关于raw的信息:
https://askubuntu.com/questions/ ... forward-in-iptables



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2