🛀🏻 🧔🏽 ☂️ परत 3 फ़ायरवॉल मिक्रोटिक का परिचय 👼🏻 🤶🏿 🚕

फ़ायरवॉल (या पैकेट फ़िल्टर) एक बड़ा और जटिल विषय है जो सैद्धांतिक रूप से और व्यावहारिक रूप से दोनों में है। विभिन्न ऑपरेटिंग सिस्टम में एक पैकेट फ़िल्टर अन्य कार्यान्वयन की तुलना में इसके पेशेवरों और विपक्षों के पास हो सकता है। इस लेख में, मैं विशेष रूप से अपने पूर्वज iptables पर एक नज़र के साथ RouterOS में फ़ायरवॉल पर विचार करूंगा।

प्रस्तावना

यह लेख किसके लिए है?

यदि आप जानते हैं कि कैसे iptables के साथ काम करना है, तो आगे बढ़ें और फ़ायरवॉल को कॉन्फ़िगर करें, इस लेख में आपके लिए कुछ भी नया नहीं होगा (अच्छी तरह से, सिवाय इसके कि अन्य नामों के साथ श्रृंखलाएं NAT तालिका में उपयोग की जाती हैं)। यदि यह आपका पहली बार राउटरओएस में फ़ायरवॉल देख रहा है और कॉन्फ़िगरेशन के लिए तैयार स्क्रिप्ट प्राप्त करना चाहता है, तो आप यहां नहीं पाएंगे। सामग्री उन लोगों के उद्देश्य से है जो यह जानना चाहते हैं कि फ़ायरवॉल कैसे काम करता है और इसके प्रसंस्करण के विभिन्न चरणों में आईपी पैकेट के साथ क्या होता है। एक गहरी समझ एक पैकेट फिल्टर का उपयोग करते हुए हर रोज अनुभव और असामान्य समस्याओं को हल करने के साथ आएगी।

सैद्धांतिक हिस्सा

Layer3 Firewall क्या है?

मान लें कि आपके पास इंटरनेट एक्सेस और दो ब्रिज इंटरफेस के साथ एक राउटर है: ब्रिज-लैन (ether2-ether5) और ब्रिज-dmz (ईथर-इथर 10)।

ब्रिज इंटरफ़ेस के भीतर, डिवाइस स्वतंत्र रूप से अपने सबनेट और एक्सचेंज पैकेट से पड़ोसियों को ढूंढते हैं, राउटर एक स्विच के रूप में कार्य करता है और नेटवर्क स्तर पर इस तरह के ट्रैफिक की निगरानी नहीं करता है (बेशक, आप इसे ऐसा करने के लिए मजबूर कर सकते हैं, लेकिन हम Layer2 Firewall के बारे में दूसरी बार बात करेंगे)।

यदि आवश्यक हो, तो किसी अन्य पुल इंटरफ़ेस से जुड़े डिवाइस से संपर्क करें या वैश्विक नेटवर्क पर स्थित, डिवाइस पैकेट को राउटर तक पहुंचाते हैं, जो मार्ग निर्धारित करता है और उन्हें नेटवर्क (लेयर 3) स्तर पर संसाधित करता है।

पैकेट प्रवाह आरेख

पैकेट फ़्लो डायग्राम में ट्रैफ़िक का पूरा रास्ता बताया गया है, कई आधिकारिक (v5, v6 ) संस्करण हैं, उन्हें रोजमर्रा के काम में जाना और इस्तेमाल किया जाना चाहिए, लेकिन पैकेट फ़िल्टर के संचालन को समझने के लिए, वे अतिभारित हैं, इसलिए मैं एक हल्के संस्करण में समझाऊंगा।

इनपुट / आउटपुट इंटरफ़ेस कोई भी (भौतिक या आभासी) लेयर 3 राउटर इंटरफ़ेस है। एक पैकेट जो स्थानीय नेटवर्क से इंटरनेट पर जाता है, इनपुट इंटरफ़ेस को जाता है, और आउटपुट इंटरफ़ेस को छोड़ देता है। इंटरनेट से स्थानीय नेटवर्क के लिए एक पैकेट भी इनपुट इंटरफ़ेस पर जाता है, और आउटपुट इंटरफ़ेस छोड़ देता है। पैकेट फ़्लो को हमेशा एक दिशा इनपुट -> आउटपुट में पढ़ा जाता है।

शब्दावली सुविधाएँ

Iptables के लिए पैकेट प्रवाह का अध्ययन करना, आप "टेबल में चेन" या "चेन में टेबल" के माध्यम से विवरण पा सकते हैं। आरेख तालिकाओं में तालिकाओं को दिखाता है, जब फ़ायरवॉल पर नियम जोड़ते हैं, तो सब कुछ इसके विपरीत होगा।

लेकिन वास्तव में पैकेट [चेन + टेबल] ब्लॉक के बीच चलता है, उदाहरण के लिए, यदि आप [प्रीरिंग + मेंगल] ब्लॉक में स्वीकार करते हैं, तो ट्रांजिट पैकेट को अभी भी [फॉरवर्ड + मेंगल] में संसाधित किया जाएगा। यह मलबे और कतारों के साथ जटिल विन्यास में याद रखना महत्वपूर्ण है।

Iptables प्रलेखन की अधिक सटीक परिभाषा है, लेकिन सरल शब्दों में:
चेन के लिए पैकेट को संसाधित करने और नियमों के अनुक्रम के लिए जिम्मेदार हैं।
तालिकाएँ उन क्रियाओं को निर्धारित करती हैं जिन्हें पैकेज पर किया जा सकता है।

मूल पैकेज निम्नलिखित विकल्प

पारवहन

नेटवर्क का एक पैकेट राउटर इंटरफेस में से एक में आता है
PREROUTING श्रृंखला में, व्यवस्थापक पैकेट मार्ग को प्रभावित कर सकता है: आउटपुट इंटरफ़ेस (पॉलिसी बेस राउटिंग) या किसी अन्य पते (dst-nat) पर रीडायरेक्ट करें।
पैकेट के लिए राउटिंग टेबल के अनुसार, आउटगोइंग इंटरफ़ेस निर्धारित किया जाता है।
फ़ोरवर्ड श्रृंखला ट्रैफ़िक पास करने के लिए मुख्य फ़िल्टरिंग स्थान है।
नेटवर्क में प्रवेश करने से पहले अंतिम आइटम पोस्टिंग श्रृंखला है, जिसमें आप प्रेषक का पता (src-nat) बदल सकते हैं।
पैकेट ऑनलाइन गया।

भेजे

नेटवर्क का एक पैकेट राउटर इंटरफेस में से एक में आया था
PREROUTING श्रृंखला मारो।
राउटिंग टेबल के अनुसार, पैकेट को स्थानीय प्रक्रिया के लिए प्रसंस्करण के लिए भेजा गया था।
INPUT श्रृंखला व्यवस्थापक द्वारा आने वाले ट्रैफ़िक को फ़िल्टर करती है।
पैकेज को स्थानीय प्रक्रिया द्वारा संसाधित किया गया था।

निवर्तमान

राउटर प्रक्रियाओं में से एक ने एक आईपी पैकेट (नया या प्रतिक्रिया - यह कोई फर्क नहीं पड़ता) उत्पन्न किया।
रूटिंग टेबल के अनुसार, पैकेट के लिए एक आउटपुट इंटरफ़ेस परिभाषित किया गया है।
व्यवस्थापक आउटगोइंग ट्रैफ़िक को फ़िल्टर कर सकता है या OUTPUT श्रृंखला में मार्ग बदल सकता है।
पैकेज के लिए, आउटपुट इंटरफ़ेस पर अंतिम निर्णय किया जाता है।
पासिंग ट्रैफ़िक के दौरान पैकेट POSTROUTING में आता है।
पैकेट ऑनलाइन गया।

कनेक्शन ट्रैकर

पहले आपको यह समझने की जरूरत है कि स्टेटफुल और स्टेटलेस पैकेट फिल्टर क्या हैं।

एक उदाहरण है। कंप्यूटर 192.168.100.10 सर्वर 192.0.2.10 के लिए एक टीसीपी कनेक्शन खोलता है। क्लाइंट पक्ष पर, डायनेमिक पोर्ट 49149 का उपयोग सर्वर साइड 80 पर किया जाता है। सामग्री प्राप्त होने से पहले, क्लाइंट और सर्वर को एक tcp सेशन स्थापित करने के लिए पैकेट का आदान-प्रदान करना चाहिए।

स्टेटलेस में, आपको स्थानीय नेटवर्क से इंटरनेट तक और इंटरनेट से स्थानीय नेटवर्क (कम से कम डायनेमिक पोर्ट की सीमा के लिए) पर ट्रैफ़िक खोलने की आवश्यकता है। जो एक पूरे के रूप में एक छेद है।

एक स्टेटफुल राउटर में, यह पैकेट का विश्लेषण करता है और 192.168.100.10:49149 से 192.0.2.10:80 के लिए टीसीपी सिंक प्राप्त करता है, इसे एक नए कनेक्शन की शुरुआत मानता है। सभी आगे के पैकेट (किसी भी दिशा में) 192.168.100.10:49149 और 192.0.2.10:80 के बीच tcp सत्र बंद होने या समयसीमा समाप्त होने तक स्थापित कनेक्शन का हिस्सा माना जाएगा।

यूडीपी / आईसीएमपी और अन्य प्रकार के ट्रैफ़िक के लिए, जहां कनेक्शन की शुरुआत और अंत स्पष्ट रूप से प्रतिष्ठित नहीं किया जा सकता है, पहला पैकेट पहले है, बाकी को स्थापित कनेक्शन का हिस्सा माना जाता है और टाइमर को अपडेट किया जाता है, टाइमर टाइमर समाप्त होने के बाद ऐसे कनेक्शन के बारे में भूल जाता है।

कनेक्शन ट्रैकर पैकेज को कई प्रकारों में विभाजित करता है:

नया - एक पैकेट जो एक कनेक्शन खोलता है, उदाहरण के लिए tcp के लिए सिंक या udp स्ट्रीम में पहला पैकेट।
स्थापित - एक ज्ञात संबंध से संबंधित पैकेट।
संबंधित - मल्टीट्रोकोल (सिप, पीपीटीपी, एफटीपी, ...) में अतिरिक्त कनेक्शन से संबंधित पैकेट।
अमान्य - अज्ञात कनेक्शन से पैकेट।
अनट्रैक - पैकेट ट्रैक किए गए कनेक्शन ट्रैकर नहीं।

कनेक्शन ट्रैकर कॉन्फ़िगरेशन
सक्षम = हाँ - सक्षम।
सक्षम = नहीं - अक्षम।
enabed = auto - फ़ायरवॉल में कॉनट्रैक की क्षमताओं का उपयोग करते हुए एक नियम तक अक्षम। यह डिफ़ॉल्ट रूप से उपयोग किया जाता है।

शेष पैरामीटर अलग-अलग टाइमर हैं और आमतौर पर ट्यूनिंग की आवश्यकता नहीं होती है।

व्यवस्थापक कनेक्शन देख और हटा सकता है, उदाहरण के लिए, NAT का कनेक्शन इस तरह दिखता है:

कॉनट्रैक का उपयोग प्रदर्शन और संसाधन खपत को प्रभावित करता है (विशेष रूप से बड़ी संख्या में कनेक्शन के साथ), लेकिन यह अधिकांश कॉन्फ़िगरेशन में काम नहीं करेगा, क्योंकि आपके पास NAT के बिना एक स्टेटलेस फ़ायरवॉल होगा।

कनेक्शन ट्रैकर निर्भर कार्यों की सूची

टीटीएल

टाइम टू लिव - आईपी पैकेट हेडर में एक क्षेत्र जो राउटर की संख्या को परिभाषित करता है जिसके माध्यम से एक पैकेट नष्ट होने से पहले जा सकता है, राउटिंग लूप के दौरान अंतहीन पैकेट अग्रेषण से बचाता है।

अग्रेषित करते समय, रूटर TTL = 0 से, TTL मान 1 से घटा देता है। इस मामले में, टीटीएल = 1 के साथ एक पैकेट राउटर की स्थानीय प्रक्रिया के लिए मिलेगा।

कुछ वाहक राउटर्स के उपयोग को रोकने के लिए TTL ट्रिक्स का उपयोग करते हैं। इन सभी सीमाओं को मैनगल तालिका में टीटीएल मूल्य में वृद्धि के लायक है।

नेट

नेटवर्क एड्रेस ट्रांसलेशन - आईपी पैकेट हेडर में एड्रेस बदलने की तकनीक। लिनक्स की तरह, NAT पैकेट फ़िल्टर का हिस्सा है। एनएटी कनेक्शन ट्रैकर पर आधारित काम करता है।

प्रारंभ में, NAT को IPv4 पतों की थकावट की समस्या के त्वरित समाधान के रूप में डिजाइन किया गया था, स्थानीय नेटवर्क के लिए, इसे रेंज से सबनेट का उपयोग करने का प्रस्ताव दिया गया था: 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16 और उन्हें एक (या कई) नियमित पतों में अनुवाद करें। वास्तव में, कुछ और सर्विस सबनेट हैं जिनका उपयोग निजी नेटवर्क और राउटर पर किया जा सकता है, सिद्धांत रूप में, NAT के समान है, लेकिन मानकों का पालन करने की सिफारिश की जाती है।

NAT केवल प्रक्रियाएँ: tcp, udp, icmp और कुछ बहु-प्रोटोकॉल [IP] से -> [फ़ायरवॉल] -> [सर्विस पोर्ट]। कनेक्शन में केवल पहला (कनेक्शन-राज्य = नया) पैकेट संसाधित किया जाता है, शेष पैकेट नेट तालिका की भागीदारी के बिना स्वचालित रूप से संसाधित होते हैं। इसे नियमों में काउंटरों के परिवर्तन से ट्रैक किया जा सकता है।

पैकेट हेडर में क्रमशः स्रोत और गंतव्य का पता होता है, और NAT को स्रोत और गंतव्य NAT में विभाजित किया जाता है।

स्रोत NAT - प्रेषक का पता स्पूफिंग, दुनिया में घर और कॉर्पोरेट राउटर के विशाल बहुमत पर मौजूद है।

यह स्थानीय नेटवर्क पर "ग्रे" पतों के साथ कई उपकरणों को एक (या कई) वास्तविक पतों का उपयोग करके इंटरनेट के साथ संवाद करने की अनुमति देता है।

पैकेट फ्लो पर लौटते हुए, हम देखते हैं कि पैकेट को रूट करने के बारे में निर्णय लेने के बाद, एसआरसी-एनएटी पोस्ट्राउटिंग में है।

प्रतिक्रिया पैकेट एक अंतर्निहित डीएसटी-एनएटी से गुजरता है जिसमें प्राप्तकर्ता का पता स्थानीय में बदल जाता है।

गंतव्य NAT - प्राप्तकर्ता पते का प्रतिस्थापन।

इसका उपयोग, यदि आवश्यक हो, पैकेट को किसी अन्य पते पर अग्रेषित करने के लिए किया जाता है, तो इसका उपयोग आमतौर पर बाहरी नेटवर्क से स्थानीय एक में "फॉरवर्ड पोर्ट" के लिए किया जाता है।

पैकेट फ्लो के अनुसार, डीएसटी-एनएटी ऑपरेशन प्रीरिंग में रूटिंग के बारे में निर्णय लेने से पहले होता है, प्रतिक्रियात्मक यातायात के लिए निहित SRC-NAT मौजूद है।

NAT एक काफी शक्तिशाली ट्रैफिक मैनेजमेंट टूल है, लेकिन इसे अंतिम उपयोग किया जाना चाहिए (जब अन्य टूल मदद नहीं कर सकते)।

जंजीरों (जंजीरों) बुनियादी और उपयोगकर्ता

चेन नियमों से मिलकर और पैकेट प्रसंस्करण के तर्क को मजबूर करते हैं।
पैकेट प्रवाह के लिए मैप की गई कई मूल श्रृंखलाएँ हैं:
प्रीरटिंग (dstnat) - रूटिंग पर निर्णय लेने से पहले पैकेट प्रसंस्करण
इनपुट - प्रसंस्करण पैकेट राउटर की स्थानीय प्रक्रियाओं के लिए किस्मत में है
आउटपुट - राउटर की स्थानीय प्रक्रियाओं द्वारा उत्पन्न पैकेट पैकेट प्रसंस्करण
फ़ॉरवर्ड - प्रोसेसिंग पासिंग ट्रैफ़िक
पोस्ट्राउटिंग (srcnat) - इंटरफ़ेस के प्रसारण के लिए तैयार ट्रैफ़िक संसाधन

सब कुछ iptables की तरह है, लेकिन नेट में चेन का नाम बदल दिया जाता है। यह किसके साथ जुड़ा हुआ है (सबसे अधिक संभावना है कि हॉटस्पॉट या नेट के अनलोडिंग के साथ) मेरे लिए अज्ञात है, लेकिन यह कुछ भी नहीं बदलता है।

पैकेज श्रृंखला में नियमों को क्रमिक रूप से पारित करता है, यदि यह सभी स्थितियों के लिए उपयुक्त है, तो कार्रवाई पैकेज पर लागू होती है। यदि कार्रवाई समाप्त हो रही है और पैकेट को नहीं छोड़ता है, तो इसे अगले पैकेट प्रवाह ब्लॉक में पास किया जाता है।

सभी आधार श्रृंखलाओं में एक डिफ़ॉल्ट कार्रवाई होती है (यदि पैकेज किसी भी नियम के तहत फिट नहीं था) - स्वीकार करें ।

कस्टम चेन उन नियमों की संख्या को कम करने के लिए आवश्यक हैं जो प्रत्येक पैकेट गुजरते हैं और यातायात के प्रसंस्करण के लिए जटिल नियमों का निर्माण करते हैं। सभी उपयोगकर्ता श्रृंखलाओं में एक डिफ़ॉल्ट कार्रवाई होती है - वापसी ।

तालिका के भीतर, आप कई अलग-अलग आधार (और उपयोगकर्ता) श्रृंखला से नियमों को उपयोगकर्ता श्रृंखला में अग्रेषित कर सकते हैं, लेकिन पैकेट उस श्रृंखला में वापस आ जाएगा जहां से यह आया था।

नियम और शर्तें

जंजीरों में नियमों का समावेश होता है, प्रत्येक नियम में शर्तों और कार्यों का समावेश होता है। बहुत सारी स्थितियां हैं, लेकिन आप सभी वास्तविक कॉन्फ़िगरेशन में उपयोग नहीं करेंगे। अधिकांश स्थितियों को "नहीं" (संकेत ""!) के साथ उपसर्ग किया जा सकता है। नियम से मेल खाने के लिए, इन सभी स्थितियों के लिए पैकेज उपयुक्त होना चाहिए।

कुछ शर्तें

शर्त	विवरण
src-पता	स्रोत का पता
डीएसटी-पता	प्राप्तकर्ता का पता
src-पता-सूची	स्रोत का पता सूचीबद्ध है।
डीएसटी-पता-सूची	प्राप्तकर्ता का पता सूचीबद्ध है
प्रोटोकॉल	ट्रांसपोर्ट लेयर प्रोटोकॉल
src पोर्ट	स्रोत पोर्ट
डीएसटी-बंदरगाह	प्राप्तकर्ता पोर्ट
बंदरगाह	स्रोत या गंतव्य बंदरगाह
में इंटरफ़ेस	इंटरफ़ेस जिस पर पैकेज आया था
बाहर इंटरफ़ेस	वह इंटरफ़ेस जहाँ से पैकेट को नेटवर्क पर भेजा जाएगा
इंटरफ़ेस-सूची में	जिस इंटरफेस में पैकेज आया है वह सूचीबद्ध है
बाहर इंटरफ़ेस-सूची	वह इंटरफ़ेस जिससे पैकेट नेटवर्क पर भेजा जाएगा सूचीबद्ध किया गया है
layer7 प्रोटोकॉल	एक कनेक्शन में पहले 10 पैकेट की सामग्री का विश्लेषण
सामग्री	एक बैच में दिए गए स्ट्रिंग के लिए खोजें
टीएलएस मेजबान	Tls हैडर में होस्ट खोजें
IPsec नीति	जांचें कि पैकेट ipsec नीति से मेल खाता है या नहीं
पैकेट आकार	पैकेट आकार बाइट्स में
src-मैक-पता	मैक पैकेज स्रोत का पता
कनेक्शन चिह्न	कनेक्शन लेबल
पैकेट निशान	पैकेज लेबल
मार्ग चिह्न	पैकेट वेपाइंट
कनेक्शन-राज्य	कनेक्शन पैकेज की स्थिति
टीसीपी-झंडे	झंडे tcp पैकेज
ICMP-विकल्प	आईसीएमपी पैकेज विकल्प
बिना सोचे समझे	एक निश्चित संभावना के साथ नियम को ट्रिगर किया जाता है (जब अन्य परिस्थितियां मेल खाती हैं)
समय	आप नियम के कार्य के घंटे निर्दिष्ट कर सकते हैं, दुर्भाग्य से बिना तिथि रूपांतरण के
टीटीएल	Ttl पैकेज में फ़ील्ड मान
DSCP	पैकेट में DSCP (TOS) फ़ील्ड मान
- - -	- - -
जगह-से पहले	कंसोल विकल्प (कोई शर्त नहीं), आपको निर्दिष्ट से पहले एक नियम जोड़ने की अनुमति देता है
विकलांग	कंसोल विकल्प (शर्त नहीं), आपको नियम को अक्षम करने की अनुमति देता है

नोट
Src। (Dst।) पते के रूप में, आप निर्दिष्ट कर सकते हैं: एक एकल आईपी, एक हाइफ़न या सबनेट के माध्यम से पते की एक श्रृंखला।
एक ही नाम के तहत कई असंबद्ध आईपी को जोड़ने के लिए पतों की सूची आवश्यक है। नेटफिल्टर में ipset के विपरीत, MikroTik सूचियों में प्रविष्टियां निर्दिष्ट अवधि के बाद हटाई जा सकती हैं। आप सूचियों को देख सकते हैं और [IP] -> [फ़ायरवॉल] -> [पता सूचियों] में बदलाव कर सकते हैं।
पोर्ट नंबर (पोर्ट, src-port, dst-port) के रूप में, आप एक पोर्ट, अल्पविराम द्वारा अलग किए गए कई पोर्ट या एक हाइफ़न के माध्यम से कई पोर्ट निर्दिष्ट कर सकते हैं।

एमएससी में अंतिम एमयूएम में, पैकेट की प्रसंस्करण गति पर विभिन्न स्थितियों के प्रभाव पर एक अच्छी प्रस्तुति थी (वहां आप राउटर पर लोड को कम करने के लिए कच्ची तालिका का उपयोग करना सीखेंगे), जो इसमें रुचि रखते हैं: रिकॉर्डिंग और प्रस्तुति ।

टेबल क्रियाएँ

पैकेज पर उपलब्ध कार्यों का सेट उस तालिका पर निर्भर करता है जिसमें यह संसाधित होता है।

फ़िल्टर - ट्रैफ़िक फ़िल्टरिंग तालिका, दो स्थानों में से एक जहाँ आप पैकेट छोड़ सकते हैं।

NAT - आईपी पैकेट हेडर में आईपी एड्रेस और पोर्ट (tpc, udp) को संशोधित करने के लिए तालिका।

Mangle - आईपी पैकेट के अन्य क्षेत्रों को संशोधित करने और विभिन्न लेबल सेट करने के लिए एक तालिका।

आंतरिक पैकेट लेबल तीन प्रकार के होते हैं: कनेक्शन, पैकेट, मार्ग। लेबल केवल राउटर के भीतर मौजूद हैं और नेटवर्क पर नहीं जाते हैं। एक पैकेट में प्रत्येक प्रकार का एक लेबल हो सकता है, जबकि कई निशान गुजरते हैं- * नियम क्रम में, लेबल ओवरराइट किए जाते हैं।
रूट लेबल केवल प्रीरिंग और आउटपुट चेन में सेट किए जा सकते हैं, बाकी किसी भी चेन में।

पहले कनेक्शन को चिह्नित करना अच्छा है, फिर पैकेट (पैकेट) या मार्ग (मार्ग)। पैकेट फ़ील्ड की तुलना में लेबलों की जाँच तेज़ है। व्यवहार में, यह हमेशा जटिल कतारों में नहीं होता है या कनेक्शन के अतिरिक्त अतिरिक्त अंकन उपयोगी नहीं होते हैं।

रॉ - एक तालिका जो पैकेट को कनेक्शन ट्रैकर को बायपास करने की अनुमति देती है। इसका उपयोग DoS का मुकाबला करने और cpu पर लोड को कम करने के लिए किया जाता है (उदाहरण के लिए, मल्टीकास्ट ट्रैफ़िक को दरकिनार)। आपको पैकेट छोड़ने देता है।

क्रियाओं को समाप्त करना श्रृंखला में एक पैकेट के प्रसंस्करण को पूरा करता है और इसे पैकेट प्रवाह में अगले ब्लॉक में पास करता है, या इसे छोड़ देता है।

कार्रवाई

तालिका	प्रभाव	विवरण	समाप्ति?
सब	स्वीकार करना	पैकेट को संसाधित करना बंद करें और इसे अगले पाकसेट प्रवाह ब्लॉक में स्थानांतरित करें	हां
सब	लॉग	पैकेज जानकारी लॉग करें। आधुनिक संस्करणों में, आप लॉग को किसी अन्य क्रिया में जोड़ सकते हैं।	नहीं
सब	passtrough	पैकेट की संख्या गिनें। डिबगिंग के लिए उपयोग किया जाता है	नहीं
सब	पता सूची में src जोड़ें और पता सूची में dst जोड़ें	दिए गए सूची में पैकेट से स्रोत (गंतव्य) पता जोड़ें	नहीं
सब	कूद	उपयोगकर्ता श्रृंखला पर जाएं	हां
सब	वापसी	मूल श्रृंखला पर लौटें। आधार श्रृंखलाओं में यह स्वीकार की तरह काम करता है	हां
फ़िल्टर और कच्चे	ड्रॉप	पैकेट प्रवाह पर पैकेट प्रवाह को रोकें और त्यागें	हां
फ़िल्टर और प्रीरटिंग	फास्टट्रैक	तेज पैकेट प्रवाह के लिए ध्वज पैकेट	हां
फ़िल्टर	अस्वीकार	ड्रॉप की तरह, लेकिन एक पैकेट भेजने वाले को गिराए गए पैकेट के बारे में एक सूचना (tcp या icmp) भेजी जाती है	हां
फ़िल्टर	trapit	एक खुले बंदरगाह की उपस्थिति का अनुकरण करें। DoS, भ्रामक और (कभी-कभी) डीबगिंग के विरुद्ध सुरक्षा के लिए उपयोग किया जाता है	हां
नेट	src-नेट	निर्दिष्ट करने के लिए प्रेषक पते का प्रतिस्थापन	हां
नेट	छद्मवेष	Src-nat का एक विशेष मामला, इंटरफ़ेस से एक पते के साथ प्रेषक पते को बदलता है, इसका उपयोग डायनेमिक (dhcp, vpn) इंटरफेस पर किया जाता है। यदि इंटरफ़ेस पर कई आईपी हैं, तो इसका उपयोग करने की अनुशंसा नहीं की जाती है	हां
नेट	समान	Src-nat का एक विशेष मामला। निर्दिष्ट सीमा से एक पते के साथ प्रेषक पते की जगह	हां
नेट	डीएसटी-नेट	निर्दिष्ट के साथ प्राप्तकर्ता पते को बदलता है	हां
नेट	रीडायरेक्ट	Dst-nat का एक विशेष मामला, प्राप्तकर्ता के पते को राउटर इंटरफ़ेस के पते से बदल देता है जिसमें पैकेट आया था	हां
नेट	netmap	Dst-nat के लिए प्रतिस्थापन नहीं। नेटवर्क-से-नेटवर्क अनुवाद के लिए उपयोग किया जाता है, उदाहरण देखें	हां
वध करना	निशान कनेक्शन	कनेक्शन लेबल	नहीं
वध करना	पैकेट को चिह्नित करें	पैकेट लेबल कतारों में लगाया जाता है	नहीं
वध करना	मार्क रूटिंग	रुट लेबल पॉलिसी बेस रूटिंग में लागू होता है	नहीं
वध करना	ttl बदलें	Ttl संपादित करें	नहीं
वध करना	परिवर्तन dcsp (tos)	Dcsp दशमलव बदलें	नहीं
वध करना	एमएस बदलें	Ms को tcp syn में बदलें	नहीं
वध करना	स्पष्ट df	स्पष्ट नहीं झंडे को फहराएं	नहीं
वध करना	पट्टी ipv4 विकल्प	उन्नत ipv4 विकल्प साफ़ करें	नहीं
वध करना	प्राथमिकता तय करें	CoS के लिए प्राथमिकता तय करें	नहीं
वध करना	मार्ग	पैकेट के लिए गेटवे सेट करें। PBR का सरल संस्करण	नहीं
वध करना	सूँघना tzsp	Udp में पैकेट को एनकैप्सुलेट करें और निर्दिष्ट आईपी को भेजें	नहीं
वध करना	सूँघने का पीसी	Tzsp का एक एनालॉग, लेकिन एक अलग प्रकार के एनकैप्सुलेशन के साथ। अगर कैली के साथ मामलों का उपयोग करें तो विकी में	नहीं
वध करना	passtrough	डिफ़ॉल्ट रूप से, मैनगल के अधिकांश नियम पैकेट को पास होने से नहीं रोकते हैं, आप इस व्यवहार को passtrough सेट करके बदल सकते हैं = नहीं	नहीं
कच्चा	notrack	कनेक्शन ट्रैकर में पैकेज को ट्रैक न करें	हां

यदि इच्छा रखने वाले लोग हैं, तो मैं फास्टट्रैक और फास्टपैथ के बारे में अधिक लिख सकता हूं, लेकिन आपको इन तकनीकों से चमत्कार की उम्मीद नहीं करनी चाहिए।

DPI के बारे में कुछ शब्द

पैकेज में ट्रांसपोर्ट लेयर हेडर की तुलना में थोड़ा गहरे देखने की कई संभावनाएँ हैं:
सामग्री - एक पैकेज में दिए गए स्ट्रिंग के लिए खोज करता है।
लेयर 7-प्रोटोकॉल - कनेक्शन से पहले 10 पैकेट (या 2KiB) को बफ़र करता है और बफ़र्ड डेटा में regexp की खोज करता है। बड़ी संख्या में लेयर 7 नियम प्रदर्शन को काफी प्रभावित करते हैं।
tls-host एक HTTPS कनेक्शन के TLS / SNI हैडर में होस्ट नाम का पता है।

उदाहरण

उदाहरणों को बिना सोचे-समझे कॉपी न करें, डिवाइस को लेना बेहतर है और कॉन्फ़िगरेशन को स्वयं लिखने का प्रयास करें (या उदाहरणों को फिर से लिखें, लेकिन समझें कि प्रत्येक नियम क्या करता है)। यदि आपको पता नहीं है कि नियमों को कैसे पूरक किया जाए: डिफ़ॉल्ट और न्यूनतम होम कॉन्फ़िगरेशन में वान इंटरफ़ेस से राउटर तक कोई पहुंच नहीं है, तो इसे पता सूची द्वारा फ़िल्टरिंग के साथ जोड़ें।

डिफ़ॉल्ट फ़ायरवॉल रूटर

एक बहुत ही सुरक्षित कॉन्फ़िगरेशन, लेकिन बहुत उलझन वाले स्थानों में:

/ip firewall filter #     (established, related)   (untracked)  add action=accept chain=input connection-state=established,related,untracked #    (invalid)  add action=drop chain=input connection-state=invalid #  icmp  add action=accept chain=input protocol=icmp #          add action=drop chain=input in-interface-list=!LAN #   ipsec    add action=accept chain=forward ipsec-policy=in,ipsec add action=accept chain=forward ipsec-policy=out,ipsec #          add action=fasttrack-connection chain=forward connection-state=established,related #       add action=accept chain=forward connection-state=established,related,untracked #    add action=drop chain=forward connection-state=invalid #     wan ,     dstnat (,      src-nat   dst-nat) add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat #Source NAT      ipsec,      WAN add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

मैंने कभी भी डिफॉल्ट कॉन्फिगर का इस्तेमाल नहीं किया, लेकिन डिफॉल्ट से पहले फायरवॉल ज्यादा खराब था।

मिनिमल होम फायरवॉल

सबसे आसान बात के साथ आने के लिए। हां, इसमें अनट्रैक किए गए ट्रैफ़िक की अनुमति नहीं है (लेकिन फ़ायरवॉल के मूल अध्ययन के चरण में आपको अभी भी इसकी आवश्यकता नहीं है) और सुरंग ipsec के साथ समस्याएं होंगी (फिर से, यदि आप ipsec को कॉन्फ़िगर कर सकते हैं, तो आप स्वयं जानते हैं कि आपको इसकी आवश्यकता है)।

 /ip firewall filter #     (established, related)  add chain=input connection-state=established,related action=accept #  icmp  add chain=input connection-state=new protocol=icmp action=accept #      add chain=input connection-state=new in-interface-list=LAN action=accept #     add chain=input action=drop #       add chain=forward connection-state=established,related action=accept #         add chain=forward connection-state=new in-interface-list=LAN action=accept #     add chain=forward action=drop /ip firewall nat #Source NAT        WAN add chain=srcnat out-interface-list=WAN action=masquerade

DMZ उदाहरण

"होम" राउटर पर, संक्षिप्त DMZ को स्थानीय सबनेट पर एक कंप्यूटर कॉल करना पसंद है, जिसके लिए बाहरी नेटवर्क से सभी पोर्ट अग्रेषित किए जाते हैं।

वास्तव में, यह ऐसा नहीं है और DMZ विकल्पों में से एक संसाधन को अलग करना है जिसके लिए आपको इंटरनेट से पहुंच प्रदान करनी होगी और एक सफल हमला किया जा सकता है (एक वेब सर्वर जिसमें छेद लगातार पाए जाते हैं एक हमलावर के लिए एक अच्छा लक्ष्य है)। हैकिंग के मामले में, एक हमलावर स्थानीय नेटवर्क में प्रतिभागियों को प्रभावित करने में सक्षम नहीं होगा।

 #  /ip firewall nat add chain=dstnat dst-port=80,443 action=dst-nat to-address=192.168.200.2 /ip firewall filter #   icmp   add chain=input connection-state=established,related action=accept add chain=input protocol=icmp connection-state=new action=accept #      add chain=input in-interface=ether2-lan action=accept #    add chain=input action=drop #    add chain=forward connection-state=established,related action=accept #        add chain=forward in-interface=ether2-lan connection-state=new action=accept #    web  add chain=forward out-interface=ether3-dmz dst-address=192.168.200.2 dst-port=80,443 connection-state=new action=accept #   add chain=forward action=drop

हेयरपिन NAT

 /ip firewall nat add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.100.2

एक विशिष्ट स्थिति तब होती है जब आप एक पोर्ट को किसी स्थानीय नेटवर्क पर सर्वर को फॉरवर्ड करते हैं और सब कुछ बाहर से काम करता है, लेकिन स्थानीय नेटवर्क के अंदर सर्वर बाहरी पते पर पहुंच योग्य नहीं होता है।

आइए देखें क्या होता है:

कंप्यूटर 192.168.100.10 192.0.2.100 पर एक अनुरोध भेजता है
यह राउटर पर DST-NAT करता है और पैकेट को 192.168.100.2 पर अग्रेषित किया जाता है
सर्वर देखता है कि 192.168.100.10 से एक पैकेट 192.168.100.2 पते पर आया है और स्थानीय पते से जवाब दे रहा है
कंप्यूटर को 192.168.100.2 से एक अप्रत्याशित पैकेट प्राप्त होता है और वह इसे छोड़ देता है।

समाधान एक अतिरिक्त नियम जोड़ना है जो स्रोत पते को राउटर के पते में बदल देता है, इसलिए सर्वर पैकेट को राउटर में वापस कर देगा, जो इसे इनिशियलाइज़र कंप्यूटर पर भेज देगा।

 /ip firewall nat #  add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.100.2 # ,      add chain=srcnat src-address=192.168.100.0/24 dst-address=192.168.100.2 action=masquerade

व्यवहार में, इस योजना का अक्सर उपयोग नहीं किया जाता है, लेकिन एक फ़ायरवॉल को डीबग करने के उदाहरण के रूप में, मैं वास्तव में इसे पसंद करता हूं।

नेटमैप का उचित उपयोग

नेटमैप एक सबनेट से दूसरे सबनेट के पते पर अनुवाद करने की एक तकनीक है।
आईपी एड्रेस (मास्क एंट्री में) दो भाग होते हैं: नेटवर्क (सबनेट मास्क में निर्दिष्ट बिट्स) और होस्ट (शेष बिट्स)। नेटमैप पते के नेटवर्क भाग को बदल देता है, लेकिन होस्ट भाग को स्पर्श नहीं करता है।

एक वीपीएन चैनल द्वारा दो राउटर जुड़े हुए हैं। राउटर एक ही पते के साथ सबनेट की सेवा करते हैं। सबनेट के बीच पहुंच बनाना आवश्यक है।

आप अतिरिक्त पते के बिना नहीं कर सकते।

बाएं सबनेट से उपयोगकर्ता 192.168.102.0/24 सबनेट के माध्यम से दाईं ओर दस्तक देंगे
दाएं सबनेट के उपयोगकर्ता 192.168.101.0/24 सबनेट के माध्यम से बाईं ओर दस्तक देंगे

MikroTik 1 पर कॉन्फ़िगरेशन।

 #     /ip route add distance=1 dst-address=192.168.102.0/24 gateway /ip firewall nat #       add action=netmap chain=srcnat dst-address=192.168.102.0/24 out-interface=ipip src-address=192.168.100.0/24 to-address=192.168.101.0/24 #       add action=netmap chain=dstnat dst-address=192.168.101.0/24 in-interface=ipip src-address=192.168.102.0/24 to-address=192.168.100.0/24

MikroTik2 का विन्यास लगभग समान है:

 /ip route add distance=1 dst-address=192.168.101.0/24 gateway=10.10.10.1 /ip firewall nat add action=netmap chain=srcnat dst-address=192.168.101.0/24 out-interface=ipip src-address=192.168.100.0/24 to-address=192.168.102.0/24 add action=netmap chain=dstnat dst-address=192.168.102.0/24 in-interface=ipip src-address=192.168.101.0/24 to-address=192.168.100.0/24

उदाहरण के लिए, नेटमैप का उपयोग करते हुए अधिक जटिल कॉन्फ़िगरेशन हैं, यदि आपके पास रिमोटिंग सबनेट्स के साथ दूरस्थ बिंदुओं के लिए कई कनेक्शन हैं और दूरस्थ उपकरणों पर सेटिंग्स को बदलने का कोई तरीका नहीं है, लेकिन यह पहले से ही उन्नत रूटिंग है।

यदि आपको (नेटमैप के बारे में) कुछ भी समझ में नहीं आता है, तो आपको इसकी आवश्यकता नहीं है और केवल पोर्ट को अग्रेषित करते समय इस क्रिया का उपयोग न करें।

परत 3 फ़ायरवॉल मिक्रोटिक का परिचय