过滤器

网络防火墙保持网络内部的敏感数据远离外部威胁。每当不同的网络连接在一起，总有一个从您的网络外部的威胁，有人会闯入你的局域网。这种破门而入，可能会导致私人数据被盗和分发的，有价值的数据被改变或破坏，或整个硬盘被擦除。防火墙是用来作为一种手段，防止或减少连接到其他网络固有的安全风险。正确配置的防火墙起着关键的作用，高效，安全的网络的infrastrure部署。

MikroTik的RouterOS的具有非常强大的功能，包括防火墙实现：

状态包检测

7层协议检测

对等协议过滤

流分类：

源MAC地址

IP地址（网络或清单）和地址类型（广播，地方，组播，单播）

端口或端口范围

IP协议

协议选项（ICMP类型和代码字段，TCP标志，IP选项和MSS）

接口的数据包到达或离开通过

内部流动和连接马克

DSCP字节

数据包内容

数据包到达速率和序列号

数据包大小

数据包到达时间

还有更多！

防火墙通过防火墙规则。每个规则由两部分组成 - 对给定的条件和动作定义匹配的数据包做什么用的流量相匹配的匹配。

防火墙过滤规则组合在一起链。它允许一个数据包在一个链，一个共同的标准进行匹配，然后通过对其他一些常见的标准处理到另一个链。例如，一个数据包进行匹配的IP地址：端口对。当然，它可以加入许多规则与IP地址：端口匹配所要求的正向链实现，但一个更好的方法可能是添加一个规则相匹配的流量从一个特定的IP地址，例如：/ IP防火墙过滤添加SRC-地址= 1.1.1.2/32跳转目标=“mychain”在全成匹配的情况下通过一些其他的链条，在这个例子中的ID EST mychain IP数据包的控制权。然后，对单独的端口进行匹配的规则可以不指定IP地址添加到mychain链。

有三个预定义链，不能被删除：

输入 -用于处理进入路由器的数据包的目的IP地址是路由器的地址之一的接口通过一个。通过路由器的数据包不会对输入链的规则处理

向前 -用于处理数据包通过路由器

输出 -用于处理数据包从路由器起源和离开它通过一个接口。通过路由器的数据包不处理对输出链规则

包流程图说明了如何在RouterOS的报文的处理。

当处理一个链，规则均取自上市从上到下的顺序链。如果一个数据包的标准相匹配的规则，然后在它上面执行指定的操作，并没有更多的规则进行处理链中，（例外的是直通行动）。如果一个数据包已经在链中没有任何规则相匹配，那么它被接受。

财产 描述

动作（动作名称 ;默认接受） 要采取的动作，如果数据包匹配的规则：

接受 -接受包。数据包被传递给下一个防火墙规则。

添加DST-地址列表 -添加目的地址指定的地址列表地址列表参数

添加SRC-地址列表 -添加源地址到地址列表参数 所指定的地址列表

下拉 -默默丢弃该数据包

跳 -跳跳目标参数 的值指定用户定义的链

登录 -添加一条消息到系统日志包含以下数据：在接口，输出接口，SRC-MAC，协议，SRC-IP：端口> DST-IP：端口和数据包的长度。匹配数据包后，它被传递到列表中的下一条规则，类似直通

直通 -忽略这个规则，到下一个（有用的统计数据）。

拒绝 -丢弃该数据包，并发送一个ICMP拒绝消息

回报 -把控制传递回链从那里跳了

tarpit的 -捕获并保存TCP连接（用SYN / ACK入站TCP SYN数据包的回复）

地址列表（字符串，默认） 要使用的地址列表的名称。适用的，如果动作是附加DST-地址列表或SRC添加到地址列表

地址列表超时（时间 ;默认：00:00:00） 时间间隔后的地址从地址列表中指定的地址列表参数将被删除。用于与附加DST地址列表或SRC添加到地址列表的行动

价值00:00:00会留下永远的地址列表中的地址

链（名称，默认） 指定链规则将被添加。如果输入不匹配已定义的链的名称，将创建一个新链。

评论（字符串，默认） 规则的描述性注释。

连接的字节（整数整数 ;默认：） 匹配只有当一个给定的字节量的数据包已经通过特定的连接转移。0 -表示无穷大，例如连接字节= 2000000-0意味着该规则匹配，如果超过2MB已通过相关连接转移

连接限制（整数，子网掩码，默认：） 限制连接数限制，每个地址或地址块

连接标记（标记字符串默认：） 匹配杂乱设施，特别是连接标记标记通过。如果没有标志设置，规则将匹配任何无人盯防的连接。

连接速率（整数0 .. 4294967295 ;默认：） 连接速率的防火墙匹配，使目前的连接速度的基础上，捕捉到交通。阅读更多>>

连接状态（estabilished |无效|新|相关 ;默认：） 解释一个特定的数据包连接跟踪分析数据：

建立 -一个数据包属于一个现有的连接

无效 -一个数据包，它不能被识别为某种原因

新 -包已经开始一个新的连接，或其他相关的连接还没有看到数据包在两个方向。

相关 -这是关系到一个数据包，但不属于现有的连接，如ICMP错误或开始FTP数据连接的分组

连接类型（FTP | H323 | IRC | PPTP | QUAKE3 | SIP | TFTP默认） 匹配的数据包的基础上，从相关的连接信息从他们的连接跟踪佣工。一个相关的连接帮手/ IP防火墙的服务端口下必须启用

内容（字符串，默认） 匹配包含指定文本

DSCP（整数：0 .. 63 ;默认：） 匹配DSCP，IP报头字段。

DST地址（IP地址/子网掩码| IP范围 ;默认：） 匹配数据包的目的地是到指定的IP或等于落入指定的IP地址范围。

DST地址列表（名称，默认） 匹配的数据包的目的地址与用户定义的地址列表

dst的地址类型（单播|地方|转播|组播 ;默认） 匹配目的地址类型：

用于点对点传输单播 IP地址-

本地 -如果dst的地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

DST限制（整数，时间，整数，DST地址| DST口| SRC地址，时间，默认：） 给个百分点内的匹配数据包限制。反对限制匹配，每一个目的地IP地址/目的端口有它自己的限制。参数都写在格式如下：数量，时间，突发模式，到期。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

模式 -分类的数据包速率限制

过期 -指定的时间间隔后，这条记录IP地址/端口都将被删除

DST端口（整数[整数]：0 .. 65535，默认） 目标端口号或端口号范围一览

片段（yes | no用于默认：） 匹配数据包碎片。首先（起点）片段不计数。如果启用了连接跟踪将不会有碎片系统自动组装每一个数据包

热点（验证从客户端| HTTP本地DST |到客户端 ;默认）

ICMP选项（整数：整数 ;默认：） 与ICMP类型代码fileds的匹配

在桥口（名称，默认） 实际接口的数据包进入路由器，如果输入接口是桥梁。只有当使用IP防火墙中启用网桥设置。

在接口（名称，默认） 接口的数据包进入路由器

进入优先级（整数：0 .. 63 ;默认：） 匹配入口的数据包的优先级。VLAN，WMM或MPLS EXP位的优先级可能来自阅读更多>>

IPV4选项（任何松散源路由记录路由|路由器警示|没有源路由没有时间戳|无|记录路由路由器警报|严格的源路由|时间戳 ;默认：） 匹配IPv4报头的选项。

任何 -如同数据包与ipv4的选项中的至少一个

松散源路由 -相匹配的与松散源路由选项的数据包。此选项用于路由基于互联网数据报的源提供的信息

没有记录路由 -没有记录路由选项的数据包匹配。此选项用于路由基于互联网数据报的源提供的信息

没有路由器警示 -匹配的数据包，路由器没有改变选项

没有源路由 -匹配的数据包没有源路由选项

没有时间戳 -匹配的数据包没有时间戳选项

路由纪录 -匹配的数据包记录路由选项

路由器警示 -匹配的数据包，路由器另一个选项

严格的源路由 -严格的源路由选项的数据包匹配

时间戳 -匹配的数据包的时间戳

跳目标（名称，默认） 跳转到目标链名称。只适用于行动=跳

Layer7的协议（名称，默认） Layer7的协议菜单 Layer7的过滤器中定义的名称。

限制（整数，时间，整数 ;默认：） 给个百分点内的匹配数据包限制。参数都写在格式如下：数量，时间，突发。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

日志前缀（字符串，默认） 将指定文本开头的每一个日志消息。适用的，如果行动=日志

第n（整数，整数，默认：） 匹配每n个数据包。阅读更多>>

出桥口（名称，默认） 实际接口的数据包离开路由器，如果出接口的桥梁。只有当使用IP防火墙中启用网桥设置。

出接口（默认值：） 接口的数据包离开路由器

P2P（P2P |位洪流| blubster直接连接|电驴| FastTrack网络| | Soulseek的GNUTELLA warez的WinMX的默认） 从各种对等（P2P）协议报文匹配。不加密的P2P数据包。

分组标记（标记字符串默认：） 匹配数据包标记通过压延设施与特定的数据包标记。如果没有标志设置，规则将匹配任何标记的数据包。

数据包大小（整数[整数]：0 .. 65535，默认） 以字节为单位指定大小或大小范围的匹配数据包。

每个连接的分类（ValuesToHash：分母/余 ;默认：） PCC匹配允许流量划分为相等的流能力保持在一个特定的数据流中的选项组特定的数据包。阅读更多>>

端口（整数[整数]：0 .. 65535 ;预设：） 如果较量协议是TCP或UDP

协议（名称或协议ID，默认：TCP） 匹配指定的特定IP协议的协议名称或号码

PSD（整数，时间，整数，整数 ;默认：） 尝试检测TCP和UDP扫描。参数是以下格式WeightThreshold，DelayThreshold LopPortWeight，HighPortWeight

-总WeightThreshold的重量，最新的TCP / UDP数据包来自同一主机的不同目的港被视为端口扫描序列

DelayThreshold -被视为可能的端口扫描序列来自同一主机的不同的目的地端口的报文延迟

LowPortWeight -体重的特权（<= 1024）目标端 ??口的报文

HighPortWeight -非具有特权的目的端口的数据包的重量的

随机（整数：1 .. 99 ;默认） 匹配数据包随机给定的概率。

拒绝与（默认值：） 指定错误回来，如果要发送的数据包将被拒绝。适用如果拒绝行动=

路由标记（字符串，默认） 匹配的数据包标记由杂乱设施与特定的路由标记

SRC地址（IP / Netmaks，IP范围 ;默认：） 匹配的数据包的源等于指定的IP或落入指定的IP地址范围。

SRC地址列表（名称，默认） 匹配的数据包的源地址与用户定义的地址列表

SRC-地址类型（单播|本地|转播|组播 ;默认）

匹配源地址类型：

用于点对点传输单播 IP地址-

-如果本地地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

SRC端口（整数[整数]：0 .. 65535，默认） 源端口和源端口范围的名单。仅适用协议是TCP或UDP。

SRC-MAC地址（MAC地址，默认） 匹配的数据包的源MAC地址

TCP标志（ACK | CWR | ECE | FIN | PSH | RST |同步|的URG ;默认） 匹配指定的TCP标志

ACK -确认数据

CWR -拥塞窗口减少

ECE -回声旗ECN（显式拥塞通知）

鳍 -紧密连接

PSH -推送功能

RST -点连接

同步 -新的连接

URG -紧急数据

TCP-MSS（整数：0 .. 65535 ;默认：） 匹配一个IP数据包的TCP MSS值

时间（时间，星期六|周五|周四|星期三|星期二|星期一|太阳 ;默认：） 允许基于数据包的到达时间和日期创建过滤器或本地产生的数据包，出发时间和日期

TTL（整数：0 .. 255默认：） 匹配的数据包的TTL值

/ IP防火墙过滤器打印的统计会显示额外的只读属性

财产 描述

字节（整数） 总额字节匹配规则

报文（整数） 匹配规则的数据包总量

默认情况下，打印相当于打印静态和只显示静态规则。

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤的>打印统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0预路由标记路由17478158 127631         

 1预路由标记路由782505 4506           

要打印，动态规则使用打印所有。

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤>打印所有统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0预路由标记路由17478158 127631         

 1预路由标记路由782505 4506           

 2 D正向变化MSS 0              

 3 D正向变化MSS 0              

 4 D正向变化MSS 0              

 5 D正向变化MSS 129372 2031  

或者只打印动态规则使用打印动态

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤>打印统计动态 

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0 D正向改变MSS 0 0              

 1个D正向变化MSS 0              

 2 D正向变化MSS 0              

 3 D前锋变化MSS 132444 2079 

财产 描述

重置计数器（ID） 复位统计计数器指定防火墙规则。

重置计数器（） 复位统计计数器所有的防火墙规则。

让我们说，我们的专用网络是192.168.0.0/24和公共的（WAN）接口是ether1的。我们将设立防火墙允许连接到路由器本身只从本地网络中其余。此外，我们将允许在任何介面上，所以任何人都可以从互联网上ping你的路由器的ICMP协议。

/ IP防火墙过滤器

加链=输入连接状态=无效动作=降\

评论=“删除无效连接”  

加链=输入连接状态=既定行动=接受\

评论=“允许建立的连接”  

加链=输入协议ICMP行动=接受\

评论=“允许ICMP” 

加链=输入的src地址= 192.168.0.0/24行动=接受\

在接口=！ether1的 

链=输入动作=降注释=“掉落一切”  

为了保护客户的网络，我们应该检查所有通过路由器和阻止不需要的流量。对于ICMP，TCP，UDP流量，我们将创建链，其中将droped的所有不必要的数据包：

/ IP防火墙过滤器

加链=转发协议= TCP连接状态=无效\

  动作=跌落评论=“删除无效连接”  

=正向链连接状态=既定行动=接受\ 

  评论=“允许已经建立的连接”  

链=连接状态=相关行动=接受\

  评论=“允许相关的连接”  

阻止“bogon”IP地址

加链= SRC地址= 0.0.0.0 / 8的行动=降  

加链= DST地址= 0.0.0.0 / 8的行动=降  

加链= SRC地址= 127.0.0.0 / 8行动=降 

加链= DST地址= 127.0.0.0 / 8行动=降 

加链= SRC地址= 224.0.0.0 / 3行动=降 

加链= DST地址= 224.0.0.0 / 3行动=降 

跳转到新链：

加链=转发协议= TCP行动=纵身跃下目标= TCP  

加链=转发协议= UDP行动=纵身跃下目标= UDP  

加链=转发协议ICMP行动=纵身跃下目标= ICMP 

创建TCP链和拒绝一些TCP端口：

添加链= TCP协议= TCP的dst-port = 69行动=降\

  评论=“否认TFTP” 

添加链= TCP协议= TCP的dst-port = 111行动=降\

  评论=“否认RPC端口映射”  

添加链= TCP协议= TCP的dst-port = 135行动=降\

  评论=“否认RPC端口映射”  

添加链= TCP协议= TCP的dst-port = 137-139行动=降\

  评论=“拒绝NBT”  

添加链= TCP协议= TCP的dst-port = 445行动=降\

  意见“否定CIFS”  

加链= TCP协议= TCP的dst-port = 2049行动=降注释=“否认NFS”  

链= TCP协议= TCP的dst-port = 12345-12346行动=降注释=“拒绝NETBUS”  

链= TCP协议= TCP的dst-port = 20034行动=降注释=“拒绝NETBUS”  

加链= TCP协议= TCP的dst-port = 3133行动=降注释=“拒绝BackOriffice”  

加链= TCP协议= TCP的dst-port = 67-68行动=降注释=“否认DHCP” 

拒绝UDP端口的UDP链：

加链= udp协议= UDP的dst-port = 69行动=降注释=“否认TFTP”  

加链= udp协议= UDP的dst-port = 111行动=跌落评论=“否认中国端口映射”  

加链= udp协议= UDP的dst-port = 135行动=降注释=“否认中国端口映射”  

加链= udp协议= UDP的dst-port = 137-139行动=降注释=“拒绝NBT”  

加链= udp协议= UDP的dst-port = 2049行动=降注释=“否认NFS”  

加链= udp协议= UDP的dst-port = 3133行动=降注释=“拒绝BackOriffice”  

允许只需要ICMP代码在ICMP链：

加链= ICMP协议ICMP ICMP选项= 0:0行动=接受\

  评论=“回声答复”  

加链= ICMP协议ICMP ICMP选项= 3:0行动=接受\

  评论=“网络不可达”  

加链= ICMP协议ICMP ICMP选项= 3:1行动=接受\

  评论=“主机不可达”

加链= ICMP协议ICMP ICMP选项= 3:4行动=接受\

  评论=“主机不可达的碎片”  

加链= ICMP协议ICMP ICMP选项= 4:0行动=接受\

  评论=“允许源淬火”  

加链= ICMP协议ICMP ICMP选项= 8:0行动=接受\

  评论=“允许回显请求”  

加链= ICMP协议ICMP ICMP选项= 11:0行动=接受\

  评论=“允许的时间超过”  

加链= ICMP协议ICMP ICMP选项= 12:0行动=接受\ 

  评论=“参数允许坏”  

链= ICMP行动=降注释=“拒绝所有其他类型”  

其他ICMP代码在这里找到。

暴力破解保护

Bruteforce_login_prevention_（FTP_ _SSH）