routeros防火墻與過濾詳解(二)

1、RouterOSRouterOS防火墻與過濾詳解防火墻與過濾詳解(二)RouterOSRouterOSIPIPfirewallfirewallfilterfilter工作原理工作原理下面是三條預(yù)先設(shè)置好了的chains，他們是不被能刪除的：input–用于處理進(jìn)入路由器的數(shù)據(jù)包，即數(shù)據(jù)包目標(biāo)IP地址是到達(dá)路由器一個(gè)接口的IP地址，經(jīng)過路由器的數(shù)據(jù)包不會在inputchains處理。fward–用于處理通過路由器的數(shù)據(jù)包output–用于

2、處理源于路由器并從其中一個(gè)接口出去的數(shù)據(jù)包。當(dāng)處理一個(gè)chain（數(shù)據(jù)鏈），策略是從chain列表的頂部從上而下執(zhí)行的。即先進(jìn)先出法（FirstInFirstOut）如圖:我們通過先進(jìn)先出法可以理解到，過濾數(shù)據(jù)時(shí)我們可以通過以下的兩種原則“先丟棄后接受和先接受后丟棄”：從input鏈表中可以看到，我們對進(jìn)入路由器的數(shù)據(jù)采用先拒絕非法的數(shù)據(jù)和連接，并將ICMP數(shù)據(jù)跳轉(zhuǎn)到自定義的ICMP的鏈表中過濾。下面是fward鏈表一個(gè)應(yīng)用防火墻事例：