Ringkasan
Sub-menu: /ip
firewall filter
Firewall
mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi
keamanan yang digunakan untuk mengelola aliran data ke, dari dan melalui
router. Seiring dengan Network Address Translation itu berfungsi sebagai alat
untuk mencegah akses tidak sah ke jaringan terpasang langsung dan router itu
sendiri serta filter untuk lalu lintas keluar.
Firewall jaringan tetap
ancaman luar dari data sensitif tersedia di dalam jaringan. Setiap kali
jaringan yang berbeda bergabung bersama-sama, selalu ada ancaman bahwa
seseorang dari luar jaringan Anda akan masuk ke LAN Anda. Seperti pembobolan
dapat mengakibatkan data yang pribadi yang dicuri dan didistribusikan, data
berharga yang diubah atau dihancurkan, atau seluruh hard drive yang terhapus.
Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko
keamanan yang melekat dalam menghubungkan ke jaringan lain. Firewall
dikonfigurasi dengan benar memainkan peran kunci dalam efisien dan aman
penyebaran infrastruktur jaringan.
MikroTik RouterOS
memiliki implementasi firewall yang sangat kuat dengan fitur termasuk:
- inspeksi stateful packet
- Deteksi lapisan-7 protocol
- peer-to-peer protokol penyaringan
- klasifikasi lalu lintas oleh:
- alamat sumber MAC
- Alamat IP (jaringan atau daftar) dan jenis alamat (broadcast, lokal, multicast, unicast)
- pelabuhan atau jangkauan port
- Protokol IP
- Pilihan protokol (ICMP jenis dan kode bidang, bendera TCP, IP pilihan dan MSS)
- antarmuka paket tiba dari atau kiri melalui
- aliran internal dan tanda koneksi
- DSCP byte
- isi paket
- nomor tingkat di mana paket tiba dan urutan
- ukuran paket
- waktu kedatangan paket
- dan banyak lagi!
- Rantai
Firewall beroperasi
dengan cara aturan firewall. Setiap aturan terdiri dari dua bagian - matcher
yang sesuai arus lalu lintas terhadap kondisi tertentu dan tindakan yang
mendefinisikan apa yang harus dilakukan dengan paket cocok.
Aturan penyaringan
firewall dikelompokkan bersama dalam rantai. Hal ini memungkinkan paket yang
akan dicocokkan satu kriteria umum dalam satu rantai, dan kemudian melewati
untuk pengolahan terhadap beberapa kriteria umum lainnya untuk rantai yang lain.
Misalnya paket harus dicocokkan dengan alamat IP: Pasangan pelabuhan. Tentu
saja, hal itu dapat dicapai dengan menambahkan sebanyak aturan dengan alamat
IP: port pertandingan yang diperlukan untuk rantai maju, tetapi cara yang lebih
baik bisa menambahkan satu aturan yang sesuai lalu lintas dari alamat IP
tertentu, misalnya: / ip firewall filter add src-address = 1.1.1.2 / 32
melompat-target = "mychain" dan dalam kasus pertandingan sukses
melewati kontrol atas paket IP untuk beberapa rantai lain, id est mychain dalam
contoh ini. Kemudian aturan yang melakukan pencocokan terhadap port yang
terpisah dapat ditambahkan ke mychain rantai tanpa menentukan alamat IP.
Ada tiga rantai yang
telah ditetapkan, yang tidak dapat dihapus:
· Input - digunakan untuk memproses paket memasuki
router melalui salah satu antarmuka dengan alamat IP tujuan yang merupakan
salah satu alamat router. Paket melewati router tidak diproses terhadap aturan
rantai masukan
· forward - digunakan untuk memproses paket melewati
router
· Output - digunakan untuk memproses paket-paket
berasal dari router dan meninggalkan melalui salah satu antarmuka. Paket
melewati router tidak diproses terhadap aturan rantai keluaran
Diagram aliran paket
menggambarkan bagaimana paket diproses di RouterOS.
Saat memproses rantai,
aturan yang diambil dari rantai dalam urutan mereka terdaftar di sana dari atas
ke bawah. Jika paket cocok dengan kriteria aturan, maka tindakan tertentu
dilakukan di atasnya, dan tidak ada lagi aturan diproses dalam rantai itu
(pengecualian adalah tindakan passthrough). Jika paket tidak cocok aturan
apapun dalam rantai, maka diterima.
Properties
Property
|
Description
|
action (action name; Default: accept)
|
Untuk mengambil tindakan jika
paket cocok dengan aturan:
• menerima - menerima paket. Paket
tidak lulus aturan firewall berikutnya.
• add-dst-to-address-list -
menambahkan alamat tujuan untuk mengatasi daftar ditentukan berdasarkan
alamat-listparameter
• add-src-to-address-list -
menambahkan sumber alamat ke alamat daftar ditentukan berdasarkan
alamat-listparameter
• penurunan - diam-diam drop paket
• melompat - lompat ke pengguna
didefinisikan rantai ditentukan oleh nilai parameter melompat-sasaran
• log - menambahkan pesan ke log
sistem yang berisi data sebagai berikut: di-interface, out-interface,
src-mac, protokol, src-ip: pelabuhan yang> dst-ip: port dan panjang paket.
Setelah paket cocok ini dilewatkan ke aturan berikutnya dalam daftar, sama
seperti passthrough
• passthrough - mengabaikan aturan
ini dan pergi ke yang berikutnya (yang berguna untuk statistik).
• menolak - drop paket dan
mengirim ICMP menolak pesan
• kembali - melewati kontrol
kembali ke tempat dari rantai melompat terjadi
· • Tarpit - menangkap dan memegang koneksi TCP (balasan
dengan SYN / ACK untuk inbound TCP paket SYN)
|
address-list (string; Default: )
|
Nama address list yang akan
digunakan. Berlaku jika tindakanadd-dst-to-address-list or add-src-to-address-list
|
address-list-timeout (time; Default: 00:00:00)
|
Interval waktu setelah alamat yang
akan dihapus dari daftar alamat yang ditentukan berdasarkan address-listparameter. Digunakan bersama denga add-dst-to-address-list or add-src-to-address-listactions
Value of 00:00:00 akan meninggalkan alamat di address list selamanya |
chain (name; Default: )
|
Menentukan yang aturan rantai akan
ditambahkan. Jika input tidak sesuai dengan nama rantai sudah ditetapkan,
rantai baru akan dibuat.
|
comment (string; Default: )
|
Komentar untuk memerintah.
|
connection-bytes (integer-integer; Default: )
|
Sesuai paket hanya jika jumlah
yang diberikan byte telah ditransfer melalui sambungan tertentu. 0 - berarti
infinity, misalnya koneksi-byte = 2000000-0 berarti bahwa aturan yang cocok
jika lebih dari 2MB yang ditransfer melalui sambungan relevan
|
connection-limit (integer,netmask; Default: )
|
Membatasi batas koneksi per alamat
atau alamat blok sampai dengan nilai yang diberikan
|
connection-mark (no-mark | string; Default: )
|
Sesuai paket ditandai melalui
fasilitas ngoyakkan dengan tanda koneksi tertentu. Jika tidak ada
tanda-diatur, aturan akan ditemukan koneksi ditandai.
|
connection-nat-state (srcnat | dstnat; Default: )
|
Dapat mencocokkan koneksi yang
srcnatted, dstnatted atau keduanya. Perhatikan bahwa koneksi sambungan-negara
= terkait koneksi-nat-negara ditentukan oleh arah paket pertama. dan jika
pelacakan koneksi perlu menggunakan dst-nat untuk memberikan koneksi ini
untuk sama host sebagai koneksi utama akan sehubungan-nat-negara = dstnat
bahkan jika tidak ada aturan dst-nat sama sekali.
|
connection-rate (Integer 0..4294967295; Default: )
|
Koneksi Tingkat adalah matcher
firewall yang memungkinkan untuk menangkap lalu lintas berdasarkan kecepatan
hadir koneksi.
|
connection-state (estabilished | invalid | new | related;
Default: )
|
Menafsirkan sambungan pelacakan
analisis data untuk paket tertentu:
• didirikan - paket yang termasuk
koneksi yang ada
• tidak valid - paket yang tidak
bisa diidentifikasi karena alasan tertentu
• baru - paket telah memulai
koneksi baru, atau berhubungan dengan koneksi yang tidak melihat paket di
kedua arah.
• terkait - paket yang berhubungan dengan, tetapi bukan
bagian dari koneksi yang ada, seperti kesalahan ICMP atau paket yang dimulai
sambungan data FTP
|
connection-type (ftp | h323 | irc | pptp | quake3 | sip | tftp;
Default: )
|
Sesuai paket dari koneksi yang
terkait berdasarkan informasi dari pembantu pelacakan hubungan mereka. Sebuah
relevan sambungan penolong harus diaktifkan di / ip firewall service-port
|
content (string; Default: )
|
Paket cocok yang berisi teks
tertentu
|
dscp (integer: 0..63; Default: )
|
Cocok bidang DSCP header IP.
|
dst-address (IP/netmask | IP range; Default: )
|
Sesuai paket yang tujuan sama
dengan IP tertentu atau jatuh ke kisaran IP tertentu.
|
dst-address-list (name; Default: )
|
Sesuai alamat tujuan paket melawan
ditetapkan pengguna daftar alamat
|
dst-address-type (unicast | local | broadcast | multicast;
Default: )
|
Sesuai tujuan alamat jenis:
• unicast - alamat IP yang
digunakan untuk titik ke titik transmisi
• lokal - jika dst-address
ditugaskan untuk salah satu antarmuka router
• broadcast - paket dikirim ke
semua perangkat di subnet
• multicast - paket diteruskan ke kelompok didefinisikan
perangkat
|
dst-limit (integer[/time],integer,dst-address | dst-port |
src-address[/time]; Default: )
|
Sesuai paket sampai tingkat
tertentu terlampaui. Tingkat didefinisikan sebagai paket per interval waktu.
Berbeda dengan matcher batas, setiap aliran memiliki itu batas sendiri.
Aliran didefinisikan oleh parameter modus. Parameter yang ditulis dalam format
berikut: menghitung [/ waktu], meledak, modus [/ berakhir].
• menghitung - hitung paket per
interval waktu per aliran untuk mencocokkan
• Waktu - menentukan interval
waktu di mana menghitung paket per aliran tidak dapat dilampaui (opsional, 1s
akan digunakan jika tidak ditentukan)
• meledak - jumlah awal paket per
aliran untuk mencocokkan: nomor ini akan diisi oleh salah satu setiap kali /
menghitung, hingga nomor ini
• Modus - parameter ini menentukan
apa bidang yang unik mendefinisikan aliran (src-address, dst-address,
src-dan-dst-address, dst-address-dan-port, alamat-dan-dst-port)
• expire - Interval setelah mengalir tanpa paket akan
diizinkan untuk dihapus (opsional)
|
dst-port (integer[-integer]: 0..65535; Default: )
|
Daftar nomor port tujuan atau
rentang nomor port
|
fragment (yes|no; Default: )
|
Sesuai paket yang terfragmentasi.
Pertama (awal) fragmen tidak masuk hitungan. Jika pelacakan koneksi
diaktifkan tidak akan ada fragmen karena sistem otomatis merakit setiap paket
|
hotspot (auth | from-client | http | local-dst |
to-client; Default: )
|
|
icmp-options (integer:integer; Default: )
|
Cocok dengan jenis ICMP: fileds
kode
|
in-bridge-port (name; Default: )
|
Antarmuka yang sebenarnya paket
telah dimasukkan router, jika antarmuka yang masuk jembatan. Bekerja hanya
jika penggunaan-ip-firewall diaktifkan dalam pengaturan jembatan.
|
in-interface (name; Default: )
|
Antarmuka paket telah memasuki
router
|
ingress-priority (integer: 0..63; Default: )
|
Cocok prioritas masuknya paket.
Prioritas mungkin berasal dari VLAN, WMM atau MPLS EXP bit.Read more >>
|
ipsec-policy (in | out, ipsec | none; Default: )
|
Sesuai dengan kebijakan yang
digunakan oleh IpSec. Nilai ditulis dalam format berikut: arah, kebijakan.
Arah adalah Digunakan untuk memilih apakah akan cocok dengan kebijakan yang
digunakan untuk dekapsulasi atau kebijakan yang akan digunakan untuk enkapsulasi.
• di - berlaku di PREROUTING itu,
INPUT dan rantai MAJU
• keluar - berlaku di POSTROUTING,
OUTPUT dan rantai MAJU
• IPSec - cocok jika paket
dikenakan pengolahan IPsec;
• tidak ada - cocok transportasi
paket IPSec.
Sebagai contoh, jika router menerima Ipsec dikemas paket
Gre, maka aturan IPSec-kebijakan = di, ipsecwill cocok dengan paket Gre, tapi
aturan IPSec-kebijakan = di, tidak akan cocok dengan paket ESP.
|
ipv4-options (any | loose-source-routing | no-record-route |
no-router-alert | no-source-routing | no-timestamp | none | record-route |
router-alert | strict-source-routing | timestamp; Default: )
|
Cocok pilihan sundulan IPv4.
• any - paket cocok dengan
setidaknya salah satu pilihan IPv4
• loose-source-routing - paket
cocok dengan routing pilihan sumber longgar. Pilihan ini digunakan untuk rute
internet datagram berdasarkan informasi yang diberikan oleh sumber
• tidak ada record-route - paket
cocok dengan catatan rute pilihan. Pilihan ini digunakan untuk rute internet
datagram berdasarkan informasi yang diberikan oleh sumber
• no-router-alert - tidak cocok
dengan paket router mengubah pilihan
• no-source-routing - tidak cocok
dengan paket sumber routing pilihan
• no-timestamp - tidak cocok
dengan paket pilihan timestamp
• record-route - paket cocok
dengan catatan rute pilihan
• router-alert - paket cocok
dengan router mengubah pilihan
• ketat-source-routing - paket
cocok dengan opsi source routing yang ketat
• timestamp - paket cocok dengan tanda waktu
|
jump-target (name; Default: )
|
Nama dari rantai target untuk
melompat ke. Berlaku hanya jika action = jump
|
layer7-protocol (name; Default: )
|
Nama filter Layer7 didefinisikan
dalam menu protokol Layer7.
|
limit (integer,time,integer; Default: )
|
Sesuai paket sampai tingkat yang
terbatas (tingkat paket atau bit rate). Memerintah menggunakan matcher ini
akan cocok sampai batas ini tercapai. Parameter yang ditulis dalam format
berikut: menghitung [/ waktu], meledak: modus.
• count - paket atau bit hitungan
per interval waktu untuk mencocokkan
• time - menentukan interval waktu
di mana paket atau bit count tidak dapat dilampaui (opsional, 1s akan
digunakan jika tidak ditentukan)
• burst - awal jumlah paket atau
bit untuk mencocokkan: nomor ini akan diisi ulang setiap 10 ms sehingga
meledak harus setidaknya 1/100 dari tingkat per detik
• mode - paket atau bit mode
|
log-prefix (string; Default: )
|
Menambahkan teks yang ditentukan
pada awal setiap pesan log. Berlaku jika action = log
|
nth (integer,integer; Default: )
|
Cocok setiap paket n. Selengkapnya
>>
|
out-bridge-port (name; Default: )
|
Antarmuka yang sebenarnya adalah
paket meninggalkan router, jika outgoing interface adalah jembatan. Bekerja
hanya jika penggunaan-ip-firewall diaktifkan dalam pengaturan jembatan.
|
out-interface (; Default: )
|
Antarmuka paket meninggalkan
router
|
p2p (all-p2p | bit-torrent | blubster |
direct-connect | edonkey | fasttrack | gnutella | soulseek | warez | winmx;
Default: )
|
Sesuai paket dari berbagai
peer-to-peer (P2P) protokol. Tidak bekerja pada dienkripsi paket P2P.
|
packet-mark (no-mark | string; Default: )
|
Sesuai paket ditandai melalui
fasilitas ngoyakkan dengan tanda paket. Jika tidak ada tanda-diatur, aturan
akan ditemukan paket ditandai.
|
packet-size (integer[-integer]:0..65535; Default: )
|
Sesuai paket dari ukuran tertentu
atau berbagai ukuran dalam bytes.
|
per-connection-classifier (ValuesToHash:Denominator/Remainder; Default:
)
|
PCC matcher memungkinkan untuk
membagi lalu lintas ke sungai sama dengan kemampuan untuk terus paket dengan
set tertentu pilihan dalam satu aliran tertentu.
|
port (integer[-integer]: 0..65535; Default: )
|
Cocok jika ada (sumber atau
tujuan) port yang sesuai dengan daftar yang ditentukan port atau rentang
pelabuhan. Berlaku hanya jika protokol TCP atau UDP
|
protocol (name or protocol ID; Default: tcp)
|
Cocok protokol IP tertentu
ditentukan oleh protokol nama atau nomor
|
psd (integer,time,integer,integer; Default: )
|
Upaya untuk mendeteksi dan UDP TCP
scans. Parameter dalam format berikut WeightThreshold, DelayThreshold,
LopPortWeight, HighPortWeight
• WeightThreshold - total berat
terbaru TCP / UDP paket dengan port tujuan yang berbeda yang datang dari host
yang sama untuk diperlakukan sebagai pelabuhan scan urutan
• DelayThreshold - menunda untuk
paket dengan port tujuan yang berbeda yang datang dari host yang sama untuk
diperlakukan sebaik mungkin port scan subsequence
• LowPortWeight - berat paket
dengan privilege (<= 1024) port tujuan
• HighPortWeight - berat paket
dengan non-priviliged pelabuhan tujuan
.
|
random (integer: 1..99; Default: )
|
Sesuai paket secara acak dengan
probabilitas yang diberikan
|
reject-with (; Default: )
|
Error Menentukan untuk dikirim
kembali jika paket ditolak. Berlaku jika tindakan = menolak
|
routing-mark (string; Default: )
|
Sesuai paket ditandai dengan
fasilitas ngoyakkan dengan tanda routing yang
|
src-address (Ip/Netmaks, Ip range; Default: )
|
Sesuai paket yang sumber sama
dengan IP tertentu atau jatuh ke kisaran IP tertentu.
|
src-address-list (name; Default: )
|
Cocok dengan alamat sumber dari
paket terhadap user-defined daftar alamat
|
src-address-type (unicast | local | broadcast | multicast;
Default: )
|
Sesuai jenis sumber alamat:
• unicast - alamat IP yang
digunakan untuk titik ke titik transmisi
• lokal - jika alamat ditugaskan
ke salah satu interface router
• broadcast - paket dikirim ke
semua perangkat di subnet
• multicast - paket diteruskan ke kelompok didefinisikan
perangkat
|
src-port (integer[-integer]: 0..65535; Default: )
|
Daftar port sumber dan rentang
port sumber. Berlaku hanya jika protokol TCP atau UDP.
|
src-mac-address (MAC address; Default: )
|
Cocok sumber alamat MAC dari paket
|
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg;
Default: )
|
Cocok bendera TCP ditentukan
• ack - mengakui Data
• CWR - jendela kemacetan
berkurang
• ece - ECN-gema bendera
(pemberitahuan kemacetan eksplisit)
• sirip - hubungan dekat
• psh - fungsi mendorong
• pertama - koneksi penurunan
• syn - koneksi baru
• urg - Data mendesak
|
tcp-mss (integer: 0..65535; Default: )
|
Cocok nilai TCP MSS dari sebuah
paket IP
|
time (time-time,sat | fri | thu | wed | tue | mon |
sun; Default: )
|
Memungkinkan untuk membuat filter
berdasarkan waktu kedatangan paket 'dan tanggal, atau untuk paket lokal yang
dihasilkan, waktu dan tanggal keberangkatan
|
ttl (integer: 0..255; Default: )
|
Cocok nilai paket TTL
|
Stats
/ip firewall filter print stats
akan menampilkan
read-only tambahan properti
Property
|
Description
|
bytes (integer)
|
Jumlah total byte cocok dengan
aturan
|
packets (integer)
|
Jumlah total paket cocok dengan
aturan
|
Secara default cetak
setara dengan mencetak statis dan menunjukkan aturan hanya statis.
[admin@dzeltenais_burkaans]
/ip firewall mangle> print stats
Flags: X - disabled, I -
invalid, D - dynamic
#
CHAIN ACTION BYTES PACKETS
0
prerouting
mark-routing
17478158 127631
1 prerouting mark-routing 782505 4506
[admin@dzeltenais_burkaans] /ip firewall mangle> print all stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 prerouting mark-routing 17478158 127631
1 prerouting mark-routing 782505 4506
2 D forward change-mss 0 0
3 D forward change-mss 0 0
4 D forward change-mss 0 0
5 D forward change-mss 129372 2031
[admin@dzeltenais_burkaans] /ip firewall mangle> print stats dynamic
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 D forward change-mss 0 0
1 D forward change-mss 0 0
2 D forward change-mss 0 0
3 D forward change-mss 132444 2079
Property
|
Description
|
reset-counters (id)
|
Ulang statistik
counter untuk aturan firewall tertentu.
|
reset-counters-all ()
|
Ulang counter
statistik untuk semua aturan firewall.
|
contoh dasar
perlindungan router
Katakanlah jaringan
pribadi kita adalah 192.168.0.0/24 dan publik (WAN) interface ether1. Kami akan
mengatur firewall untuk memungkinkan koneksi ke router itu sendiri hanya dari
jaringan lokal kami dan drop sisanya. Juga kita akan memungkinkan protokol ICMP
pada antarmuka setiap sehingga siapa pun bisa ping router Anda dari internet.
/ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=icmp action=accept \
comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
in-interface=!ether1
add chain=input action=drop comment="Drop everything else"
perlindungan konsumenUntuk melindungi jaringan pelanggan, kita harus memeriksa semua lalu lintas yang melewati router dan blok yang tidak diinginkan. Untuk icmp, tcp, udp lalu lintas kita akan membuat rantai, di mana akan turun semua paket yang tidak diinginkan:
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \
comment="allow already established connections"
add chain=forward connection-state=related action=accept \
comment="allow related connections"
add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=drop
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp
add chain=tcp protocol=tcp dst-port=69 action=drop \
comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \
comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop \
comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop \
comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
Memungkinkan kode icmp hanya diperlukan dalam rantai IGMP:
add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"
Tidak ada komentar:
Posting Komentar