Bộ lọc ICMP trong Tường lửa MikroTik

Kevin Moran
Tháng Mười Hai 14, 2023
9:00 Sáng
không có lời bình luận nào

El Giao thức tin nhắn điều khiển Internet (ICMP) là giao thức lớp mạng được sử dụng để gửi thông báo điều khiển và lỗi giữa các thiết bị trên mạng.

ICMP là một giao thức quan trọng cho hoạt động của Internet và được sử dụng cho nhiều mục đích khác nhau, bao gồm:

Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này

Đi kiểm tra

Phát hiện lỗi

ICMP được sử dụng để phát hiện lỗi trong quá trình truyền dữ liệu. Ví dụ: nếu gói IP bị mất hoặc bị hỏng, người gửi có thể gửi tin nhắn ICMP đến người nhận để thông báo cho họ về lỗi.

Chẩn đoán mạng

ICMP được sử dụng để chẩn đoán các vấn đề về mạng. Ví dụ: bạn có thể sử dụng lệnh “ping” để gửi tin nhắn ICMP đến một thiết bị từ xa để kiểm tra xem nó có khả dụng hay không.

Quản lý mạng

ICMP được sử dụng để quản lý mạng. Ví dụ: nó có thể được sử dụng để gửi thông báo trạng thái hoặc định cấu hình các thiết bị mạng.

ICMP dựa trên giao thức IP và sử dụng các tiêu đề giống như IP. Tiêu đề ICMP có trường loại xác định loại thông báo ICMP.

Các loại tin nhắn

Có nhiều loại tin nhắn ICMP khác nhau, mỗi loại phục vụ một mục đích khác nhau. Một số loại tin nhắn ICMP phổ biến nhất bao gồm:

Yêu cầu/trả lời tiếng vang

Những tin nhắn này được sử dụng để xác minh tính khả dụng của thiết bị từ xa.

Điểm đến không thể truy cập

Những tin nhắn này được sử dụng để thông báo cho người gửi rằng gói IP không thể được gửi đến đích.

Đã vượt quá thời gian

Những tin nhắn này được sử dụng để thông báo cho người gửi rằng gói IP mất quá nhiều thời gian để đến đích.

ICMP là một giao thức quan trọng cho hoạt động của Internet. Bằng cách hiểu khái niệm ICMP, bạn có thể giúp giữ cho mạng của mình an toàn và hoạt động tốt.

Bộ lọc ICMP

Việc có bộ lọc ICMP trên tường lửa MikroTik RouterOS rất quan trọng vì một số lý do, bao gồm:

an ninh: Tin nhắn ICMP có thể được sử dụng để thực hiện các cuộc tấn công mạng, chẳng hạn như tấn công từ chối dịch vụ (DoS), tấn công lũ ping và tấn công theo dõi. Lọc ICMP có thể giúp chặn lưu lượng truy cập độc hại này.
Hiệu suất: Lưu lượng ICMP không cần thiết có thể làm quá tải mạng và giảm hiệu suất. Lọc ICMP có thể giúp giảm lưu lượng không cần thiết này.
Bảo mật: Tin nhắn ICMP có thể được sử dụng để thu thập thông tin về mạng của bạn, chẳng hạn như cấu trúc liên kết của mạng và tính khả dụng của thiết bị. Lọc ICMP có thể giúp bảo vệ quyền riêng tư của bạn.

Dưới đây là một số ví dụ cụ thể về cách bộ lọc ICMP trong MikroTik RouterOS có thể giúp bạn bảo vệ mạng của mình:

Nó có thể chặn các cuộc tấn công echo (ping Flood) được sử dụng để làm quá tải mạng của bạn bằng các tin nhắn ICMP.
Bạn có thể chặn các cuộc tấn công theo dõi được sử dụng để thu thập thông tin về mạng của bạn.
Bạn có thể chặn các tin nhắn ICMP không cần thiết, chẳng hạn như tin nhắn trả về, có thể làm quá tải mạng của bạn.

Điều quan trọng là phải định cấu hình bộ lọc ICMP phù hợp để nó không chặn lưu lượng truy cập hợp pháp. Bạn nên xem xét các nhu cầu cụ thể của mình và các rủi ro bảo mật mà mạng của bạn gặp phải.

Mẹo định cấu hình bộ lọc ICMP trong MikroTik RouterOS

Bắt đầu với một cấu hình đơn giản và sau đó thêm các quy tắc bổ sung nếu cần.
Sử dụng thẻ để sắp xếp các quy tắc lọc ICMP của bạn.
Sử dụng chế độ lọc nâng cao để có thêm quyền kiểm soát đối với lưu lượng ICMP nào được phép hoặc bị chặn.

Trên bộ định tuyến MikroTik có RouterOS, bạn có thể quản lý các cài đặt liên quan đến ICMP (Giao thức tin nhắn điều khiển Internet), bao gồm cài đặt ping và các chức năng liên quan khác.

Các loại tin nhắn ICMP

Tin nhắn ICMPv4	Nguồn từ thiết bị	Thông qua thiết bị	Dành cho thiết bị
ICMPv4-unreach-net	Giới hạn tỷ lệ	Giới hạn tỷ lệ	Giới hạn tỷ lệ
ICMPv4-unreach-host	Giới hạn tỷ lệ	Giới hạn tỷ lệ	Giới hạn tỷ lệ
ICMPv4-unreach-proto	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-port	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-frag-cần thiết	Gửi	giấy phép	Giới hạn tỷ lệ
ICMPv4-unreach-src-tuyến	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-net-unknown (Tháng XNUMX)	Từ chối	Từ chối	Từ chối
ICMPv4-unreach-host-không xác định	Giới hạn tỷ lệ	Từ chối	Bỏ qua
ICMPv4-unreach-host-bị cô lập (Tháng XNUMX)	Từ chối	Từ chối	Từ chối
ICMPv4-unreach-net-tos	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-host-tos	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-admin	Giới hạn tỷ lệ	Giới hạn tỷ lệ	Giới hạn tỷ lệ
ICMPv4-unreach-prec-vi phạm	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-unreach-prec-cutoff	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-dập tắt	Từ chối	Từ chối	Từ chối
ICMPv4-redirect-net	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-chuyển hướng-máy chủ	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-chuyển hướng tới mạng	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-chuyển hướng đến máy chủ	Giới hạn tỷ lệ	giấy phép	Giới hạn tỷ lệ
ICMPv4-thời gian-ttl	Giới hạn tỷ lệ	giấy phép	Giới hạn tỷ lệ
ICMPv4-theo thời gian-reass	Giới hạn tỷ lệ	giấy phép	Giới hạn tỷ lệ
Con trỏ tham số ICMPv4	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
Thiếu tùy chọn ICMPv4	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
Tin nhắn ICMPv4-req-echo-	Giới hạn tỷ lệ	giấy phép	Giới hạn tỷ lệ
ICMPv4-req-echo-trả lời	Giới hạn tỷ lệ	giấy phép	Giới hạn tỷ lệ
ICMPv4-req-bộ định tuyến-sol	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-req-bộ định tuyến-adv	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
Tin nhắn ICMPv4-req-timestamp	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-req-dấu thời gian-trả lời	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-thông tin-tin nhắn (Tháng XNUMX)	Từ chối	Từ chối	Từ chối
ICMPv4-thông tin-trả lời (Depr)	Từ chối	Từ chối	Từ chối
ICMPv4-mặt nạ-yêu cầu	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ
ICMPv4-mặt nạ-trả lời	Giới hạn tỷ lệ	Từ chối	Giới hạn tỷ lệ

Ví dụ về bộ lọc ICMP?

Các quy tắc ICMP sau đây là các loại thông báo thường luôn có sẵn:

				
					/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"