搜尋
搜尋
  • 5

RouterOS v7新版_單線復用+雙WAN架構設置問題請益

前往頁尾
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:88936080
1603分
41樓
2024-01-06 0:02
chain(區域)除了系統的prerouting、postrouting、input、output、forward外,
也可以自訂。

自訂工作就像是我有某PC(ht-pc)連接網際網路。
1.我將pc(192.168.88.106)往pppoe接口標記為ht-pc區塊。
2.這區塊限制朋友連線,與特定tcp與udp可連線外,其餘的為安全一律丟棄...


其中,action=jump即用來指定區塊(chain)的名稱。

上圖,我用chain=forward src-address=192.168.88.106 out-interface=pppoe-out1
來標示192.168.88.106往pppoe-out1的工作區塊名為ht-pc。

標ht-pc區塊的,真實目的其實是要丟棄(drop)的。
要保留必要的連線,"必要的連線"需從ht-pc區塊移除,
而這從目前區塊(chain)移除的動作稱"return"

注意action=return是綁chain的,而這裡的chain(區塊)是指ht-pc,不是forward。
然後ht-pc區塊早已標明的對象是192.168.88.106,
所以src-address=192.168.88.106可不用再次強調,可直接省缺。

ht-pc區塊經一層層return剃除,剩的都將是按規劃將進行丟棄的。
所以最後丟棄也不需再特別註明細節,開大絕整個ht-pc區域全丟棄就對了!!
即:action=drop chain=ht-pc

評價:chain用的好,在防火牆內就是獨一檔的簡單、暴力~
Rocvky
Rocvky
Rocvky
  • Rocvky
  • 個人積分:149分
    文章編號:88937629
149分
樓主
2024-01-06 13:37
原來還可以自定義.


有看到g大的圖,
意旨就是可以特定設置一個區塊(ht-pc),單獨對這台PC(192.168.88.106)的連線開放icmp、tcp、udp 協定。

所以可以用jump來做自定義.又因為是forward (網內電腦與網外的連線) 。
所以這個要來做自定義的chain,是不是就是看需要什麼樣的功能來選定,而不會是只有單單forward使用囉?

感覺這個自訂義,就像是可以單獨對自己的網路架構在做細分處理(而不必變動整個架構)


---------------------------------------------------------

不過,有看到Routeros好像也可以改成fullcone(nat1), 記得這個對遊戲方面的連線比較好。
有稍微設定下.但還是怪怪的(在電腦用NatTypeTester測試是nat1(fullcone),但在遊戲機上測試網路還是nat2架構..沒有變動)


不知道上述這個是不是也是g大所提的自定義連線,只是上述為廣義的,可能比較不安全?
---------------------------------------------------------



gfx wrote:
注意action=return是綁chain的,而這裡的chain(區塊)是指ht-pc,不是forward。
然後ht-pc區塊早已標明的對象是192.168.88.106,
所以src-address=192.168.88.106可不用再次強調,可直接省缺。

所以這邊的action選return,chain就會出現剛剛所自定義的ht-pc ?


也就是說,先利用forward 做 單一電腦連線出口設定,再利用return做過濾(icmp、tcp、udp..),
除非有指定,否則其他都丟棄?
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:88937732
1603分
43樓
2024-01-06 14:13
Rocvky wrote:
也就是說,先利用forward 做 單一電腦連線出口設定,再利用return做過濾(icmp、tcp、udp..),
除非有指定,否則其他都丟棄?
是的。除此外自訂域(chain)可不只用在filter過濾,像nat映射、或mangle標記都行。

且自訂的域(chain)是可以結合的,像: 
action=jump chain=forward jump-target=ht-pc src-address=192.168.88.106 out-interface=pppoe-out1
action=jump chain=forward jump-target=ht-pc src-address=192.168.88.107 out-interface=pppoe-out1
這樣ht-pc(域)就結合了192.168.88.106與192.168.88.107,往pppoe-out1的所有連線。

然後目前的chain區塊內,也可再使用jump,
即在目前的區塊(域)再劃分"小區塊",建另一個chain。如: 
action=jump chain=forward jump-target=ht-pc src-address=192.168.88.106 out-interface=pppoe-out1
action=jump chain=ht-pc jump-target=ht-443 protocol=tcp dst-port=443
這樣ht-443(域),就代表192.168.88.106往pppoe-out1,
目的是遠端tcp port:443的所有連線。
Rocvky
Rocvky
Rocvky
  • Rocvky
  • 個人積分:149分
    文章編號:88938220
149分
樓主
2024-01-06 16:28
gfx wrote:
是的。除此外自訂域(chain...(恕刪)




jump還可以在jump,這個就比較不會去想到 。 這兩條jump(ht-pc、ht-443) 下來,還可以再做return~ 等於層層過濾~

真是太猛了! 能這樣如此應用,真的非常精準與靈活!
  • 5
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?