Bezvalstnieku ugunsmūris

Šie noteikumi neievēro savienojumu stāvokli un tiek piemēroti katrai paketei neatkarīgi. Katra pakete tiek filtrēta saskaņā ar noteikumā noteiktajiem kritērijiem neatkarīgi no iepriekšējiem savienojumiem.

No otras puses, bezvalstnieks neuztur stāvokļa tabulu un pārbauda tikai atsevišķas paketes, pamatojoties uz to avota un galamērķa adresēm, portiem un protokolu galvenēm.

Tie darbojas kā pakešu filtri, pieņemot lēmumus, pamatojoties tikai uz informāciju, kas atrodas katrā paketē.

Atšķirība starp statusful un bezvalsts ugunsmūri

Bezvalstnieku noteikumu piemēri

MikroTik RouterOS bezstāvokļa ugunsmūra noteikumi tiek izveidoti, neņemot vērā savienojumu stāvokli, tas ir, tie tiek piemēroti neatkarīgi no iepriekšējiem savienojumiem. Šeit ir daži bezvalstnieku noteikumu piemēri, kas varētu būt noderīgi noteiktos scenārijos.

1. Atļaujiet trafiku no noteiktas IP adreses:

   /ip ugunsmūra filtrs add chain=forward src-address=192.168.1.100 action=accept

Šis noteikums pārsūtīšanas ķēdē atļauj trafiku no IP adreses 192.168.1.100.

2. Atļaujiet trafiku no noteikta apakštīkla:

   /ip ugunsmūra filtrs add chain=forward src-address=192.168.2.0/24 action=accept

Šis noteikums pārsūtīšanas ķēdē atļauj trafiku no apakštīkla 192.168.2.0/24.

3. Bloķējiet trafiku uz noteiktu IP adresi:

   /ip ugunsmūra filtrs pievienot ķēdi=forward dst-address=203.0.113.10 action=drop

Šis noteikums bloķē visu trafiku, kas pārsūtīšanas ķēdē nonāk uz IP adresi 203.0.113.10.

Šie ir tikai piemēri, un jums ir jāpielāgo noteikumi, pamatojoties uz jūsu īpašajām vajadzībām un tīkla topoloģiju. Tāpat ņemiet vērā, ka šie noteikumi ir bezvalstnieki, tāpēc tajos netiek ņemts vērā iepriekšējo savienojumu stāvoklis.

Stateful noteikumu piemēri

Programmā MikroTik RouterOS stāvokļi ugunsmūra noteikumi koncentrējas uz savienojumu stāvokli, kas nozīmē, ka tie atļauj vai bloķē trafiku, pamatojoties uz savienojuma stāvokli. Šeit ir daži statusa noteikumu piemēri:

1. Atļaujiet visu izejošo trafiku un saistītās atbildes:

   /ip ugunsmūra filtrs pievienot ķēdi=pārsūtīt savienojuma stāvokli=izveidots,saistītā darbība=akceptēt

Šis noteikums atļauj trafiku, kas ir daļa no izveidota vai saistīta savienojuma pārsūtīšanas ķēdē.

2. Atļaut konkrētu satiksmi no ārpuses:

   /ip ugunsmūra filtrs pievienot ķēdi=pārsūtīt in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=akceptēt

Šis noteikums pieļauj TCP trafiku, kas paredzēts 80. portam no ārpuses, izmantojot pārsūtīšanas ķēdes ether1 interfeisu.

3. Nelūgtas ienākošās trafika bloķēšana:

   /ip ugunsmūra filtrs pievienot ķēde=ievades savienojums-state=jauna darbība=drop

Šis noteikums bloķē visu ienākošo trafiku, kas nav daļa no izveidotā savienojuma ienākošajā ķēdē.

4. Atļaujiet ienākošo ICMP trafiku ping pieprasījumiem:

   /ip ugunsmūra filtrs pievienot ķēde=ievades savienojums-state=jauns protokols=icmp darbība=pieņemt

Šis noteikums atļauj ienākošo ICMP trafiku ping pieprasījumiem ienākošajā ķēdē.

5. Bloķējiet satiksmi uz noteiktu ostu no ārpuses:

   /ip ugunsmūra filtrs pievienot ķēde=input in-interface=ether1 connection-state=new dst-port=22 action=drop

Šis noteikums bloķē ienākošo trafiku uz 22. portu (SSH) no ārpuses caur ether1 saskarni ieejas ķēdē.

Šie ir tikai piemēri, un jums ir jāpielāgo noteikumi, pamatojoties uz jūsu īpašajām prasībām un tīkla konfigurāciju. Stacionāri noteikumi ir būtiski, lai nodrošinātu nepieciešamo satiksmi un uzturētu drošību, bloķējot nevēlamu trafiku.