釐清postrouting與prerouting

gfx86674

gfx86674

其實解釋起來很容易,
Router從WAN收到封包後只有兩個處理方向: 1.留給自己 2.轉發給區域網路的電腦
自用的:就簡單區分成輸入(input) /輸出(output)
轉發的:就用(forward)攘括一切,沒有輸入/輸出區分

以上...都是封包停留在Router內,對chain的解釋.

但封包在進入Router的WAN之前呢?
這範圍就廣了,有可能是要給Router,也可能是給區網內的電腦.
所以我們用prerouting標示攘括這一切的封包.

有進自然有出,既然封包在進入WAN前我們用prerouting來標示;
那從WAN出去的所有封包,不分是Router或區網電腦的,都改由postrouting標示.

gfx86674

真的非常佩服CHing，把很多复杂的东西，用适当的图搞定！

在CCNA里都没有讲这些东西，难度CHing的专业是计 ...
角色 發表於 2018-2-12 01:15

filter :在firewall filter對電腦阻擋封包的chain,是用forward.

由上圖得知filter只出現在三個區塊,分別是input/output/forward
所以有個惡意來源地址1.1.1.1 ,標示位置在input,那防火牆只能作用在Router,
防火牆並不會阻擋1.1.1.1封包轉發到區網裡...除非你再指定區網位置(forward)也不行

所以1.1.1.1封包進入WAN內以後,
想要安全必定該禁兩個方向,firewall filter得設兩種型態才可以.

而最省事的方法即1.1.1.1封包在進入Router的WAN前就先擋下,
這樣1.1.1.1封包就不會在Router內跑出兩種路徑.
而在WAN之前的chain,標示即prerouting

但firewall filter的chain裡並沒有prerouting ,
可得知firewall filter只能管裡在Router內的,在外的完全沒有辦法.

所以想擋WAN外面的封包,得換位置設.在/ip firewall raw設置.
用chain=prerouting對來源1.1.1.1進行drop的動作,那是真的無條件封殺,那裡都去不了.

gfx86674

/ip firewall raw的權力超大,
因為chain用的是prerouting,是設置WAN外面的.

/ip firewall nat的dst-nat可以將外部連線轉發到您的內網Server,
若您action設置no-track ,這個轉發會被刪掉.
從上圖看封包會強制往Router(路徑A),不會往內網Server去(路徑B被砍掉了)

no-track還有一個可怕的點,即它也有類似drop的能力.
上述說原本路徑應到B,卻往A送? 這連線能成立嗎?
超過10秒沒回應的tcp/udp封包會被Router丟棄,這同樣也達成封鎖的效果.