网大-ROS防火墙路由与PCQ培训-by+余松.pdf

RouterOS培训 - YuS1RouterOSRouterOS 防火墙、防火墙、防火墙、防火墙、路由与路由与路由与路由与PCQPCQ 培训培训培训培训 - - 余松余松余松余松RouterOS培训 - YuS2培训内容培训内容培训内容培训内容一、一、RouterOS功能二、功能二、RouterOS IP firewall •Mangle的特点 •RouterOS IP数据工作流程 •ip friewall基本原理与讲解 •nat与firewall的关系三、三、Bridge与过滤与过滤 •Bridge工作流程 •二层数据过滤四、四、QoS •RouterOS常见的流控类型 •PCQ特点 •HTB详解 •Nat的HTB控制 •二层的流量控制五、事例五、事例 •企业网络环境的规划 •MetaRouter应用 •PCC 负载均衡RouterOS培训 - YuS3RouterOSRouterOS功能功能功能功能• RouterOS现在所具备的功能现在所具备的功能,已经远远超出我们对一般路由器 的理解已经远远超出我们对一般路由器 的理解• RouterOS是基于是基于Linux2.6内核开发，通过编译后，实现各种 功能的快速安装和操作内核开发，通过编译后，实现各种 功能的快速安装和操作• 可以看成是一个路由化的操作系统，他与普通路由器的区别：可以看成是一个路由化的操作系统，他与普通路由器的区别：▲▲多功能平台多功能平台 – 基本的路由功能外，还包含防火墙、 QoS、认证系统、 VPN、WLAN、3G等等；▲▲脚本编辑脚本编辑 – 使路由器应用更加方便和智能；▲▲虚拟化技术虚拟化技术 – 多操作系统的兼容，达到一机多用的功能。

RouterOS培训 - YuS4RouterOS培训 - YuS5配配配配 置置置置• 支持基于Winbox的IP和MAC 管理• CLI命令行操作，包括： Telnet、SSH、本地终端控 制和串口控制• API应用程序接口，通过设计 后，拥有自己的管理• Web管理接口RouterOS培训 - YuS6RouterOSRouterOS IPIP工作流程工作流程工作流程工作流程RouterOS培训 - YuS7MangleMangle特点特点特点特点• 不管是QoS、防火墙、nat规则和路由，在许多特殊的 应用中都会使用Mangle标记（如routing-mark、 connection-mark、packet-mark）• Mangle在RouterOS中起到一个标记和分类的作用；• 掌握RouterOS的高级应用，必须了解Mangle在 RouterOS中的运用原理；• 理解了Mangle，也就理解了路由、防火墙和QoS的应 用RouterOS培训 - YuS8MangleMangle的作用的作用的作用的作用• RouterOS中的IP firewall主要由3个部分组成Mangle、Filter、 NAT ，而Address-list常用于地址列表分类。

• Mangle通过标记特定的IP数据流后，为Filter、NAT和Queue提 供标记后的IP数据流RouterOS培训 - YuS9MangleMangle特点特点特点特点• 不管是QoS、防火墙、nat规则和路由，在许多特殊的 应用中都会使用Mangle标记（如routing-mark、 connection-mark、packet-mark）• Mangle在RouterOS中起到一个标记和分类的作用；• 掌握RouterOS的高级应用，必须了解Mangle在 RouterOS中的运用原理；• 理解了Mangle，也就理解了路由、防火墙和QoS的应 用RouterOS培训 - YuS10RouterOSRouterOS IPIP数据处理流程数据处理流程数据处理流程数据处理流程RouterOS培训 - YuS11Forward – 转发路由Input – 进入路由Prerouting – 路由之前Output – 路由发出Postrouting – 路由之后RouterOS培训 - YuS12FirewallFirewall协议分类协议分类协议分类协议分类分为二层过滤防火墙和三层与三层以上过滤防火墙，分别在 bridge filter和ip firewall filter操作。

RouterOS培训 - YuS13FirewallFirewall链表分类链表分类链表分类链表分类RouterOS的链表组成主要包括：的链表组成主要包括： • input – 用于处理进入路由器的数据包，即数据包目标 IP地址是到达路由器一个接口的IP地址• forward – 用于处理通过路由器的数据包• output – 用于处理源于路由器并从其中一个接口出去 的数据包• 自定义链表自定义链表 - RouterOS 中可以通过自定义建立其他 链表，用于数据过滤分类RouterOS培训 - YuS14防火墙过滤防火墙过滤防火墙过滤防火墙过滤 - - InputInput• Input的过滤流程RouterOS培训 - YuS15防火墙过滤防火墙过滤防火墙过滤防火墙过滤 - - OutputOutput• Output的过滤流程RouterOS培训 - YuS16防火墙过滤防火墙过滤防火墙过滤防火墙过滤 - - ForwardForward• Forward过滤流程RouterOS培训 - YuS17FilterFilter规则原则规则原则规则原则规则原则•firewall filter 被用于IP数据包过滤，即三层 数据过滤。

•防火墙规则构成是if – then 的方式 （if 环境条件 then action执行）•防火墙规则执行是从上而下，成为FIFO （First In First Out）方式RouterOS培训 - YuS18防火墙规则原则防火墙规则原则防火墙规则原则防火墙规则原则• 过滤数据时我们可以通过以下的两种原则： • 先丢弃后接受 • 先接受后丢弃RouterOS培训 - YuS19Filter actionFilter action•Accept – 接受数据包，没有任何的操作例如接受数据包直接通过，不再以后的规则进行处 理；•Add-dst-to-address-list – 根据规则条件，将IP数据包的目标地址IP添加到指定address-list；•Add-src-to-address-list – 根据规则条件， 将IP数据包的源地址IP添加到指定的address-list；•Drop – 丢弃掉数据包（不会发送ICMP拒绝信息）；•Jump – 跳转到指定的链表；•Log – 与之匹配的操作将会被记录到system log中；•Passthrough – 忽略该规则，继续向后执行下一条规则；•Reject – 拒绝数据包，并发送ICMP拒绝信息；•Return – 通过返回操作，返回到上一跳转链表；•Tarpit – 捕捉并控制进入的TCP连接。

RouterOS培训 - YuS20input input 链表链表链表链表• 现在我来看事例中的防火墙规则，我先从input链表开始，这里 是对所有访问路由的数据进行过滤和处理：从从input链表中可以看到，我们对进入路由器的数据采用先拒绝非法的数据和连接， 并将链表中可以看到，我们对进入路由器的数据采用先拒绝非法的数据和连接， 并将ICMP数据跳转到自定义的数据跳转到自定义的ICMP的链表中过滤的链表中过滤RouterOS培训 - YuS21forwardforward链表链表链表链表• 下面是forward链表一个应用防火墙事例：forward链表，对非法数据包、非单播数据、链表，对非法数据包、非单播数据、ICMP协议和常见的病毒等进 行过滤，控制协议和常见的病毒等进 行过滤，控制TCP连接数 连接数 RouterOS培训 - YuS22Jump Jump 链表链表链表链表• 我们来看看Jump操作在forward链表中的工作 过程：forward中数据遇到中数据遇到jump规则，会判断数据是否符合定义规则，会判断数据是否符合定义jump规则，如果满足条件 将跳转到指定的链表，如上图的规则，如果满足条件 将跳转到指定的链表，如上图的ICMP和和virus链表，当在数据进入这些链表执行完 后，会返回链表，当在数据进入这些链表执行完 后，会返回jump规则所在的规则所在的forward链表中。

链表中RouterOS培训 - YuS23Firewall addressFirewall address- -listlist• 能通过address-list定 义IP地址分组 • address-list能被 firewall nat规则调用 和执行 • address-list能被 mangle或者firewall filter动态定义和调用RouterOS培训 - YuS24定义地址列表定义地址列表定义地址列表定义地址列表 1 1• 定义10个经理的IP地址在address-list中，并取名为 VIPRouterOS培训 - YuS25定义地址列表定义地址列表定义地址列表定义地址列表 2 2• 定义不能上网员工的IP地址192.168.10.129- 192.168.10.254，定义为interceptRouterOS培训 - YuS26动态定义地址列表动态定义地址列表动态定义地址列表动态定义地址列表• Address-list可以通过ip firewall fiter/nat/mangle 建立动态定义地址列表• 如记录所有访问udp/8000端口的客户IP动态添 加到access8000的address-list中，然后等待其 他规则调用并处理• 也可以定义超过连接数超过100的用户定义到 blacklist黑名单RouterOS培训 - YuS27FirewallFirewall操作实例操作实例操作实例操作实例•允许VIP用户192.168.10.10-192.168.10.19能 连接，禁止其他地址访问•禁止192.168.10.129-192.168.10.254访问外 网•禁止访问访问的网站，但10个 VIP可以正常访问RouterOS培训 - YuS28IPIP源地址和目标地址概念源地址和目标地址概念源地址和目标地址概念源地址和目标地址概念 1 1• 如何判断源地址和目标地址，与他们在ip firewall filter的链表， 如下面的图 ：从该图上可以看到，内网主机从该图上可以看到，内网主机192.168.10.88与路由器与路由器192.168.10.1通信，内网主机通信，内网主机 192.168.10.88向路由和外网的向路由和外网的web服务器通信。

不同情况下源目标服务器通信 不同情况下源目标IP地址的转变和使用的地址的转变和使用的chain链表情况链表情况RouterOS培训 - YuS29IPIP源地址和目标地址概念源地址和目标地址概念源地址和目标地址概念源地址和目标地址概念 2 2• 在这里要记住任何通信是双向的，而不仅只有源到目标一条链 路 • 在RouterOS中两个选择涉及到源和目标地址，General标签中 的src-address、dst-address和Advanced的src-address-list、 dst-address-list如下图RouterOS培训 - YuS30Layer 7Layer 7协议协议协议协议•在RouterOS3.0中增加了Layer7协议过滤功能，即对应用程序的代码进行过 滤，这些代码我们通过Regexp的脚本进行编辑，也可以通过我们预先编辑好的RouterOS脚本导入Layer7协议应用列表RouterOS培训 - YuS31网络访问控制网络访问控制网络访问控制网络访问控制 1 1• 通过address-list列表，将10个经理的IP地。