kiber darījums
RouterOS v7 uzlabotās drošības grāmata
MTCSE sertifikācijas kursa mācību materiāls, atjaunināts uz RouterOS v7
$19,97
Pievienot grozam
ICMP filtrs MikroTik ugunsmūrī
- Kevins Morans
- Komentāru nav
- Dalieties ar šo rakstu
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El Interneta vadības ziņojumu protokols (ICMP) ir tīkla slāņa protokols, ko izmanto, lai nosūtītu vadības un kļūdu ziņojumus starp ierīcēm tīklā.
ICMP ir svarīgs interneta darbības protokols, un to izmanto dažādiem mērķiem, tostarp:
Kļūdu noteikšana
ICMP izmanto, lai atklātu kļūdas datu pārraidē. Piemēram, ja IP pakete ir pazaudēta vai bojāta, sūtītājs var nosūtīt adresātam ICMP ziņojumu, lai informētu viņu par kļūdu.
Tīkla diagnostika
ICMP tiek izmantots, lai diagnosticētu tīkla problēmas. Piemēram, varat izmantot komandu “ping”, lai nosūtītu ICMP ziņojumu uz attālo ierīci, lai pārbaudītu, vai tā ir pieejama.
Tīkla pārvaldība
ICMP tiek izmantots tīkla pārvaldībai. Piemēram, to var izmantot, lai nosūtītu statusa paziņojumus vai konfigurētu tīkla ierīces.
ICMP pamatā ir IP protokols un izmanto tās pašas galvenes kā IP. ICMP galvenē ir tipa lauks, kas identificē ICMP ziņojuma veidu.
Ziņojumu veidi
Ir daudz dažādu ICMP ziņojumu veidu, un katrs no tiem kalpo citam mērķim. Daži no visizplatītākajiem ICMP ziņojumu veidiem ir:
Atbalss pieprasījums/atbilde
Šie ziņojumi tiek izmantoti, lai pārbaudītu attālās ierīces pieejamību.
Galamērķis nav sasniedzams
Šie ziņojumi tiek izmantoti, lai informētu sūtītāju, ka IP paketi nevarēja piegādāt galamērķim.
Pārsniegts laiks
Šie ziņojumi tiek izmantoti, lai informētu sūtītāju, ka IP paketei bija nepieciešams pārāk ilgs laiks, lai sasniegtu galamērķi.
ICMP ir svarīgs interneta darbības protokols. Izprotot ICMP jēdzienu, varat palīdzēt nodrošināt tīkla drošību un funkcionēšanu.
ICMP filtrs
ICMP filtrs MikroTik RouterOS ugunsmūrī ir svarīgs vairāku iemeslu dēļ, tostarp:
- Drošība: ICMP ziņojumus var izmantot, lai veiktu kiberuzbrukumus, piemēram, pakalpojumu atteikuma (DoS) uzbrukumus, ping plūdu uzbrukumus un traceroute uzbrukumus. ICMP filtrēšana var palīdzēt bloķēt šo ļaunprātīgo trafiku.
- Izrāde: Nevajadzīga ICMP trafika var pārslogot tīklu un samazināt veiktspēju. ICMP filtrēšana var palīdzēt samazināt šo nevajadzīgo trafiku.
- Konfidencialitāte: ICMP ziņojumus var izmantot, lai apkopotu informāciju par jūsu tīklu, piemēram, tīkla topoloģiju un ierīču pieejamību. ICMP filtrēšana var palīdzēt aizsargāt jūsu privātumu.
Šeit ir daži konkrēti piemēri, kā MikroTik RouterOS ICMP filtrs var palīdzēt aizsargāt jūsu tīklu:
- Tas var bloķēt atbalss (ping plūdu) uzbrukumus, kas tiek izmantoti, lai pārslogotu tīklu ar ICMP ziņojumiem.
- Varat bloķēt traceroute uzbrukumus, kas tiek izmantoti, lai apkopotu informāciju par jūsu tīklu.
- Varat bloķēt nevajadzīgus ICMP ziņojumus, piemēram, atbalss ziņojumus, kas var pārslogot jūsu tīklu.
Ir svarīgi pareizi konfigurēt ICMP filtru, lai tas nebloķētu likumīgu trafiku. Apsveriet savas īpašās vajadzības un drošības riskus, kuriem jūsu tīkls ir pakļauts.
Padomi ICMP filtra konfigurēšanai MikroTik RouterOS
- Sāciet ar vienkāršu konfigurāciju un pēc tam pievienojiet papildu noteikumus, ja nepieciešams.
- Izmantojiet tagus, lai sakārtotu ICMP filtra noteikumus.
- Izmantojiet uzlaboto filtrēšanas režīmu, lai iegūtu lielāku kontroli pār to, kura ICMP trafika ir atļauta vai bloķēta.
MikroTik maršrutētājos ar RouterOS varat pārvaldīt ar ICMP (Internet Control Message Protocol) saistītos iestatījumus, tostarp ping iestatījumus un citas saistītas funkcijas.
ICMP ziņojumu veidi
ICMPv4 ziņojums | Avots no ierīces | Izmantojot ierīci | Paredzēts ierīcei |
ICMPv4-unreach-net | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-host | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-proto | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-port | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-frag-needed | sūtīt | atļauja | Likmes ierobežojums |
ICMPv4-unreach-src-route | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-net-unknown (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-unreach-host-unknown | Likmes ierobežojums | Noliegt | Ignorēt |
ICMPv4-unreach-host-isolated (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-unreach-net-tos | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-host-tos | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-admin | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-pre-violation | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-prec-cutoff | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4 dzēšana | Noliegt | Noliegt | Noliegt |
ICMPv4-redirect-net | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-host | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-tos-net | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-to-host | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-timed-ttl | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4 laika atkārtota pārbaude | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-parameter-pointer | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
Trūkst ICMPv4 opcijas | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-echo-message | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-req-echo-reply | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-req-router-sol | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-router-adv | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-timestamp-message | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-timestamp-reply | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-info-message (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-info-reply (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4 maskas pieprasījums | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-mask-reply | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMP filtru piemēri?
Tālāk norādītie ICMP noteikumi ir ziņojumu veidi, kuriem parasti vienmēr jābūt pieejamiem.
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Šie ir tikai piemēri, un ir svarīgi pielāgot konfigurāciju atbilstoši jūsu īpašajām vajadzībām un tīkla topoloģijai.
Atcerieties būt uzmanīgiem, ierobežojot ICMP trafiku, jo tas var ietekmēt tīkla diagnostikas iespējas.
Noteikti pārbaudiet un apstipriniet visas izmaiņas testa vidē, pirms tās izvietojat ražošanas vidē.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
Saistītās ziņas
Saistītās ziņas
Mikrolaboratorijas
(ML-001) Kā pareizi pārvaldīt vairākus publiskos vai privātos IP malas maršrutētājā
$8,99
(ML-002) Publisku IP adrešu piešķiršanas veidi klientiem ar MikroTik
$9,99
(ML-003) Rokasgrāmata, lai konfigurētu interneta izejas maršrutus ar diviem vai vairākiem pakalpojumu sniedzējiem (kļūmjpārlēce un atkārtota PCC balansēšana)
$8,99
(ML-004) Filtru ieviešanas stratēģijas, lai ierobežotu piekļuvi tīmekļa lapām ar MikroTik
$7,99
Citas tēmas, kas jūs varētu interesēt
IPv6 adrešu piešķiršanas veidi (2. daļa)
Martā 25, 2024
IPv6 adrešu piešķiršanas veidi (1. daļa)
Martā 11, 2024
Vai vēlaties ieteikt tēmu?
Katru nedēļu mēs publicējam jaunu saturu. Vai vēlaties, lai mēs runājam par kaut ko konkrētu?
Gaidāmie tiešsaistes kursi
MTCINE tiešsaistē
$187,00
MTCNA tiešsaistē
$187,00
MTCRE tiešsaistē
$187,00
Iepakojumā 4 MikroTik RouterOS grāmatas
$68,47
