MikroTik RouterOS应用事例讲解(一)

来源：互联网发布：telnet端口开启编辑：程序博客网时间：2024/04/26 20:45

防火墙规则

下面是三条预先设置好了的chains，他们是不被能删除的：

input – 用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址，经过路由器的数据包不会在input-chains处理。
forward – 用于处理通过路由器的数据包
output – 用于处理源于路由器并从其中一个接口出去的数据包。

他们具体的区别如下：

当处理一个chain（数据链），策略是从chain列表的顶部从上而下执行的。如果一个数据包满足策略的条件，这时会执行该操作。

我们来看看防火墙过滤原则：

现在我来看事例中的防火墙规则：

我先从input链表开始，这里是对所有访问路由的数据进行过滤和处理：

ICMP链表操作过程：

在virus链表中过滤常见的病毒，我可以根据需要在该链表中添加新的病毒对他们做过滤：

Tracking设置

这里我们可以设置是否启用tracking连接跟踪，以及TCP、UDP和ICMP等协议的timeout时间，和TCP-syncookie设置，RouterOS在2.9.16中增加了TCP-syncookie参数。

在使用NAT时需要启用Tracking连接跟踪，如果你的RouterOS没有使用NAT（如在使用bridge模式下），可以选择关闭tracking，降低系统资源。

SYN Cookie原理
　　SYN Flood是一种非常危险而常见的DoS攻击方式。到目前为止，能够有效防范SYN Flood攻击的手段并不多，而SYN Cookie就是其中最著名的一种

SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

事例操作

双线备份自动切换配置

RouterOS 2.9中路由规则增加的两点功能：

1、在RouterOS 2.9路由规则中增加了check-gateway的功能，能检测到网关的线路状态，如果网关无法探测到，便认为网关无法连接，会自动禁止访问网关的数据通过，check-gateway功能的探测时间为10s一个周期。

2、在RouterOS 2.9中具备了对缺省网关的判断，在RouterOS 2.9的任何一个路由表中只能存在一个缺省网关，即到任何目标地址为0.0.0.0/0，没有做路由标记（routing-mark）的规则,如果存在另一个缺省网关则认为是错误，路由将不予以执行。如下图：

从上图我们可以看到，所有访问电信的IP段从10.200.15.1出去，其他的数据走网通的缺省网关出去，在我们可以这些网关的前缀都为“AS”，即确定的静态路由，而在第二排可以看到蓝色一行，他也是一个缺省网关，但因为一个路由表中只能存在一个缺省网关，所有前缀为“S”即静态但不确定的网关，被认为位非法的。如果当202.112.12.12.11网关断线，则10.200.15.1会自动启用，变为缺省路由，实现现在的切换，如下：

源地址双线应用案例

这是一个典型的通过一个路由器并使用两条ISP线路接入的环境（比如都是两条电线的ADSL或者LAN接入）：

当202.112.12.11断线后，check-gateway在10s一个周期后探测到，并将10.200.15.11设置为缺省路由，如果202.112.12.11正常后，系统也将会将202.112.12.11设置为缺省路由，因为他是先于10.200.15.1添加入路由表中。

当然，你可以选择负载均衡！这里有多种方法可以选择，只是根据你的环境，选择最适合你解决方案。

从input链表的第一条开始执行，这里一共有三条规则：

下面是forward链表：

forward链表，一共有7条规则，包括两个跳转到自定义链表ICMP和virus链表：

forward工作过程如下：

在自定义链表ICMP中，是定义所有ICMP（Internet控制报文协议），ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。ICMP报文通常被IP层或更高层协议（TCP或UDP）使用。例如：ping、traceroute、trace TTL等。我们通过ICMP链表来过滤所有的ICMP协议：