第第10頁MikroTikRouterOS轉(zhuǎn)載請(qǐng)注明：Amen”sBlogMikroTikRouterOS能對(duì)包狀態(tài)過濾；P2P協(xié)議過濾；源和目標(biāo)NAT；對(duì)源MAC、IPIP〔ICMP、TCP、容過濾、挨次優(yōu)先及數(shù)據(jù)頻繁和時(shí)間把握、包長度把握...下面是RouterOS對(duì)IP流的處理流程：RouterOS我們可以把RouterOSbridgefilter和ipfirewallfilter操作，能對(duì)各層的數(shù)據(jù)進(jìn)展處理。input、foreward和output〔chain〕同時(shí)RouterOSvirusjump菜單看到的inputforwardoutput〔alldynamic、virusRouterOSIPfirewallfilter下面是三條預(yù)先設(shè)置好了的chains，他們是不被能刪除的：IPIPinput-chainsforward–用于處理通過路由器的數(shù)據(jù)包output包。當(dāng)處理一個(gè)chain〔數(shù)據(jù)鏈〕，策略是從chain而下執(zhí)行的。即先進(jìn)先出法〔FirstInFirstOut〕如圖：的兩種原則“先丟棄后承受和先承受后丟棄”：input是對(duì)全部訪問路由的數(shù)據(jù)進(jìn)展過濾和處理：從inputICMPICMP中過濾。下面是forwardIP毒等進(jìn)展過濾。事例：inputforward把握：我們來看看Jump操作在forward鏈表中的工作過程：在forwardjumpjumpICMPvirus鏈表，當(dāng)在數(shù)據(jù)進(jìn)入這些鏈表執(zhí)行完后，會(huì)返回jump規(guī)章所在的forwardTCP/IP我們首先理解一下，TCP/IP體系構(gòu)造:網(wǎng)絡(luò)接口層TCP/IP理網(wǎng)絡(luò)進(jìn)展通信的協(xié)議，它對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層。TCP/IPEthernet、ATM、FDDI、X.25、PPP、Token-Ring等中定義。網(wǎng)絡(luò)層網(wǎng)絡(luò)層是在TCP/IP主要功能是處理來自傳輸層的分組，將分組形成數(shù)據(jù)包〔IP并為該數(shù)據(jù)包進(jìn)展路徑選擇，最終將數(shù)據(jù)包從源主機(jī)發(fā)IP，其他一些協(xié)議用來幫助IP：IP、ARP、RARP、ICMP、IGMP傳輸層TCP/IPOSITCP協(xié)議和UDP應(yīng)用層在TCP/IP模型中，應(yīng)用程序接口是最高層，它及OSI模型中的、域名效勞和簡潔網(wǎng)絡(luò)治理等。我們的RouterOSfirewallfilterbridgefilterRouterOS的filter協(xié)議。能的協(xié)議分布在不同的協(xié)議層，下面是幾個(gè)常用協(xié)議：一、網(wǎng)際層協(xié)議IP：網(wǎng)際協(xié)議ARP：地址解析協(xié)議RARP：反向地址解析協(xié)議ICMP/ICMPv6：Internet消息把握協(xié)議IPV6IGMP：Internet二、傳輸層協(xié)議TCP：傳輸把握協(xié)議RDP：牢靠數(shù)據(jù)協(xié)議，RDP/效的大批數(shù)據(jù)傳輸。RUDP：牢靠用戶數(shù)據(jù)報(bào)協(xié)議，RUDPIP信號(hào)。三、應(yīng)用層協(xié)議應(yīng)用層協(xié)議：超文本傳輸協(xié)議，用于InternetWWW器之間的數(shù)據(jù)傳輸DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議，實(shí)現(xiàn)對(duì)主機(jī)的地址安排和配置工作映射FTP：文件傳輸協(xié)議，實(shí)現(xiàn)主機(jī)之間的文件傳送TFTP：簡潔文件傳輸協(xié)議TELNET：TCP/IP〔又稱遠(yuǎn)程登錄協(xié)議〕，本地主機(jī)作為仿真終端，登錄到遠(yuǎn)程主機(jī)上運(yùn)行應(yīng)用程序SMTP：簡潔郵件傳輸協(xié)議，實(shí)現(xiàn)主機(jī)之間電子郵件的傳送；IMAP4：因特網(wǎng)信息訪問協(xié)議，用于訪問存儲(chǔ)在郵件效勞器系統(tǒng)內(nèi)的電子郵件和電子公告板信息。POP〔POP3〕：郵局協(xié)議，用于用戶及效勞器之間進(jìn)展郵件的收發(fā)。SNMP：簡潔網(wǎng)絡(luò)治理協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的治理NNTP：網(wǎng)絡(luò)聞傳輸協(xié)議UUCP：Unix到Unix的拷貝程序BOOTP：引導(dǎo)協(xié)議，用于無盤主機(jī)或工作站的啟動(dòng)NFS：網(wǎng)絡(luò)文件系統(tǒng)，實(shí)現(xiàn)主機(jī)之間的文件系統(tǒng)的共享NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換IRCP/IRC：因特網(wǎng)在線談天協(xié)議LDAP：輕量級(jí)名目訪問協(xié)議NTP：網(wǎng)絡(luò)時(shí)間協(xié)議RLOGIN：遠(yuǎn)程登錄命令，僅支持UnixUnixRMON：遠(yuǎn)程監(jiān)控RWhois：遠(yuǎn)程名目訪問協(xié)議SLP：效勞定位協(xié)議SNTP：簡潔網(wǎng)絡(luò)時(shí)間協(xié)議Finger：用戶信息協(xié)議IPipfirewallfilter鏈表，我們先看看下面的圖：我們從該圖上可以看到，內(nèi)網(wǎng)主機(jī)8及路由器8外網(wǎng)的webIP的chain鏈路。在RouterOSGeneral的src-addressdst-addressAdvancedsrc-address-list、dst-address-list連續(xù)的地址如：“0-00”。在src-address-list和dst-address-list/ipIP試驗(yàn)：1、 能訪問外網(wǎng)，制止其他地址訪問外網(wǎng)數(shù)據(jù)2、 路由器有兩段內(nèi)網(wǎng)IP地址/24和/24病毒和應(yīng)用程序過濾在RouterOScontent，對(duì)一些明文傳輸web上面是一個(gè)過濾的域名過濾address-list我們?cè)谝砸韵聢D中，我們看到對(duì)機(jī)器狗的目標(biāo)地址把握我們?cè)O(shè)置了dst-address-listRobotdog，而Robotdogipfirewalladdress-list在address-listIP些又不連續(xù)，則可以通過address-list來定義。以上的防火墻規(guī)章，可以在下載到。在RouterOS3.0Layer7也可以通過我們預(yù)先編輯好的RouterOSLayer7用列表〔下載〕我們可以同