Firewall mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data ke, dari dan melalui router. Seiring dengan Network Address Translation itu berfungsi sebagai alat untuk mencegah akses tidak sah ke jaringan terpasang langsung dan router itu sendiri serta filter untuk lalu lintas keluar.
Firewall jaringan tetap ancaman luar dari data sensitif tersedia di dalam jaringan. Setiap kali jaringan yang berbeda bergabung bersama-sama, selalu ada ancaman bahwa seseorang dari luar jaringan Anda akan masuk ke LAN Anda. Seperti pembobolan dapat mengakibatkan data yang pribadi yang dicuri dan didistribusikan, data berharga yang diubah atau dihancurkan, atau seluruh hard drive yang terhapus. Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan yang melekat dalam menghubungkan ke jaringan lain. Firewall dikonfigurasi dengan benar memainkan peran kunci dalam efisien dan aman penyebaran infrastruktur jaringan.
MikroTik RouterOS memiliki implementasi firewall yang sangat kuat dengan fitur termasuk:
· inspeksi stateful packet
· Deteksi lapisan-7 protocol
· peer-to-peer protokol penyaringan
· klasifikasi lalu lintas oleh:
· alamat sumber MAC
· Alamat IP (jaringan atau daftar) dan jenis alamat (broadcast, lokal, multicast, unicast)
· pelabuhan atau jangkauan port
· Protokol IP
· Pilihan protokol (ICMP jenis dan kode bidang, bendera TCP, IP pilihan dan MSS)
· antarmuka paket tiba dari atau kiri melalui
· aliran internal dan tanda koneksi
· DSCP byte
· isi paket
· nomor tingkat di mana paket tiba dan urutan
· ukuran paket
· waktu kedatangan paket
· dan banyak lagi!
· Rantai
Firewall beroperasi dengan cara aturan firewall. Setiap aturan terdiri dari dua bagian - matcher yang sesuai arus lalu lintas terhadap kondisi tertentu dan tindakan yang mendefinisikan apa yang harus dilakukan dengan paket cocok.
Aturan penyaringan firewall dikelompokkan bersama dalam rantai. Hal ini memungkinkan paket yang akan dicocokkan satu kriteria umum dalam satu rantai, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk rantai yang lain. Misalnya paket harus dicocokkan dengan alamat IP: Pasangan pelabuhan. Tentu saja, hal itu dapat dicapai dengan menambahkan sebanyak aturan dengan alamat IP: port pertandingan yang diperlukan untuk rantai maju, tetapi cara yang lebih baik bisa menambahkan satu aturan yang sesuai lalu lintas dari alamat IP tertentu, misalnya: / ip firewall filter add src-address = 1.1.1.2 / 32 melompat-target = "mychain" dan dalam kasus pertandingan sukses melewati kontrol atas paket IP untuk beberapa rantai lain, id est mychain dalam contoh ini. Kemudian aturan yang melakukan pencocokan terhadap port yang terpisah dapat ditambahkan ke mychain rantai tanpa menentukan alamat IP.
Ada tiga rantai yang telah ditetapkan, yang tidak dapat dihapus:
· Input - digunakan untuk memproses paket memasuki router melalui salah satu antarmuka dengan alamat IP tujuan yang merupakan salah satu alamat router. Paket melewati router tidak diproses terhadap aturan rantai masukan
· forward - digunakan untuk memproses paket melewati router
· Output - digunakan untuk memproses paket-paket berasal dari router dan meninggalkan melalui salah satu antarmuka. Paket melewati router tidak diproses terhadap aturan rantai keluaran
Diagram aliran paket menggambarkan bagaimana paket diproses di RouterOS.
Saat memproses rantai, aturan yang diambil dari rantai dalam urutan mereka terdaftar di sana dari atas ke bawah. Jika paket cocok dengan kriteria aturan, maka tindakan tertentu dilakukan di atasnya, dan tidak ada lagi aturan diproses dalam rantai itu (pengecualian adalah tindakan passthrough). Jika paket tidak cocok aturan apapun dalam rantai, maka diterima.
Properties
Property
|
Description
|
action (action name; Default: accept)
|
Untuk mengambil tindakan jika paket cocok dengan aturan:
• menerima - menerima paket. Paket tidak lulus aturan firewall berikutnya.
• add-dst-to-address-list - menambahkan alamat tujuan untuk mengatasi daftar ditentukan berdasarkan alamat-listparameter
• add-src-to-address-list - menambahkan sumber alamat ke alamat daftar ditentukan berdasarkan alamat-listparameter
• penurunan - diam-diam drop paket
• melompat - lompat ke pengguna didefinisikan rantai ditentukan oleh nilai parameter melompat-sasaran
• log - menambahkan pesan ke log sistem yang berisi data sebagai berikut: di-interface, out-interface, src-mac, protokol, src-ip: pelabuhan yang> dst-ip: port dan panjang paket. Setelah paket cocok ini dilewatkan ke aturan berikutnya dalam daftar, sama seperti passthrough
• passthrough - mengabaikan aturan ini dan pergi ke yang berikutnya (yang berguna untuk statistik).
• menolak - drop paket dan mengirim ICMP menolak pesan
• kembali - melewati kontrol kembali ke tempat dari rantai melompat terjadi
· • Tarpit - menangkap dan memegang koneksi TCP (balasan dengan SYN / ACK untuk inbound TCP paket SYN)
|
address-list (string; Default: )
|
Nama address list yang akan digunakan. Berlaku jika tindakan
add-dst-to-address-list or add-src-to-address-list |
address-list-timeout (time; Default: 00:00:00)
|
Interval waktu setelah alamat yang akan dihapus dari daftar alamat yang ditentukan berdasarkan
address-listparameter. Digunakan bersama denga add-dst-to-address-list or add-src-to-address-listactionsValue of 00:00:00 akan meninggalkan alamat di address list selamanya |
chain (name; Default: )
|
Menentukan yang aturan rantai akan ditambahkan. Jika input tidak sesuai dengan nama rantai sudah ditetapkan, rantai baru akan dibuat.
|
comment (string; Default: )
|
Komentar untuk memerintah.
|
connection-bytes (integer-integer; Default: )
|
Sesuai paket hanya jika jumlah yang diberikan byte telah ditransfer melalui sambungan tertentu. 0 - berarti infinity, misalnya koneksi-byte = 2000000-0 berarti bahwa aturan yang cocok jika lebih dari 2MB yang ditransfer melalui sambungan relevan
|
connection-limit (integer,netmask; Default: )
|
Membatasi batas koneksi per alamat atau alamat blok sampai dengan nilai yang diberikan
|
connection-mark (no-mark | string; Default: )
|
Sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda koneksi tertentu. Jika tidak ada tanda-diatur, aturan akan ditemukan koneksi ditandai.
|
connection-nat-state (srcnat | dstnat; Default: )
|
Dapat mencocokkan koneksi yang srcnatted, dstnatted atau keduanya. Perhatikan bahwa koneksi sambungan-negara = terkait koneksi-nat-negara ditentukan oleh arah paket pertama. dan jika pelacakan koneksi perlu menggunakan dst-nat untuk memberikan koneksi ini untuk sama host sebagai koneksi utama akan sehubungan-nat-negara = dstnat bahkan jika tidak ada aturan dst-nat sama sekali.
|
connection-rate (Integer 0..4294967295; Default: )
|
Koneksi Tingkat adalah matcher firewall yang memungkinkan untuk menangkap lalu lintas berdasarkan kecepatan hadir koneksi.
|
connection-state (estabilished | invalid | new | related; Default: )
|
Menafsirkan sambungan pelacakan analisis data untuk paket tertentu:
• didirikan - paket yang termasuk koneksi yang ada
• tidak valid - paket yang tidak bisa diidentifikasi karena alasan tertentu
• baru - paket telah memulai koneksi baru, atau berhubungan dengan koneksi yang tidak melihat paket di kedua arah.
• terkait - paket yang berhubungan dengan, tetapi bukan bagian dari koneksi yang ada, seperti kesalahan ICMP atau paket yang dimulai sambungan data FTP
|
connection-type (ftp | h323 | irc | pptp | quake3 | sip | tftp; Default: )
|
Sesuai paket dari koneksi yang terkait berdasarkan informasi dari pembantu pelacakan hubungan mereka. Sebuah relevan sambungan penolong harus diaktifkan di / ip firewall service-port
|
content (string; Default: )
|
Paket cocok yang berisi teks tertentu
|
dscp (integer: 0..63; Default: )
|
Cocok bidang DSCP header IP.
|
dst-address (IP/netmask | IP range; Default: )
|
Sesuai paket yang tujuan sama dengan IP tertentu atau jatuh ke kisaran IP tertentu.
|
dst-address-list (name; Default: )
|
Sesuai alamat tujuan paket melawan ditetapkan pengguna daftar alamat
|
dst-address-type (unicast | local | broadcast | multicast; Default: )
|
Sesuai tujuan alamat jenis:
• unicast - alamat IP yang digunakan untuk titik ke titik transmisi
• lokal - jika dst-address ditugaskan untuk salah satu antarmuka router
• broadcast - paket dikirim ke semua perangkat di subnet
• multicast - paket diteruskan ke kelompok didefinisikan perangkat
|
dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: )
|
Sesuai paket sampai tingkat tertentu terlampaui. Tingkat didefinisikan sebagai paket per interval waktu. Berbeda dengan matcher batas, setiap aliran memiliki itu batas sendiri. Aliran didefinisikan oleh parameter modus. Parameter yang ditulis dalam format berikut: menghitung [/ waktu], meledak, modus [/ berakhir].
• menghitung - hitung paket per interval waktu per aliran untuk mencocokkan
• Waktu - menentukan interval waktu di mana menghitung paket per aliran tidak dapat dilampaui (opsional, 1s akan digunakan jika tidak ditentukan)
• meledak - jumlah awal paket per aliran untuk mencocokkan: nomor ini akan diisi oleh salah satu setiap kali / menghitung, hingga nomor ini
• Modus - parameter ini menentukan apa bidang yang unik mendefinisikan aliran (src-address, dst-address, src-dan-dst-address, dst-address-dan-port, alamat-dan-dst-port)
• expire - Interval setelah mengalir tanpa paket akan diizinkan untuk dihapus (opsional)
|
dst-port (integer[-integer]: 0..65535; Default: )
|
Daftar nomor port tujuan atau rentang nomor port
|
fragment (yes|no; Default: )
|
Sesuai paket yang terfragmentasi. Pertama (awal) fragmen tidak masuk hitungan. Jika pelacakan koneksi diaktifkan tidak akan ada fragmen karena sistem otomatis merakit setiap paket
|
hotspot (auth | from-client | http | local-dst | to-client; Default: )
| |
icmp-options (integer:integer; Default: )
|
Cocok dengan jenis ICMP: fileds kode
|
in-bridge-port (name; Default: )
|
Antarmuka yang sebenarnya paket telah dimasukkan router, jika antarmuka yang masuk jembatan. Bekerja hanya jika penggunaan-ip-firewall diaktifkan dalam pengaturan jembatan.
|
in-interface (name; Default: )
|
Antarmuka paket telah memasuki router
|
ingress-priority (integer: 0..63; Default: )
|
Cocok prioritas masuknya paket. Prioritas mungkin berasal dari VLAN, WMM atau MPLS EXP bit.Read more >>
|
ipsec-policy (in | out, ipsec | none; Default: )
|
Sesuai dengan kebijakan yang digunakan oleh IpSec. Nilai ditulis dalam format berikut: arah, kebijakan. Arah adalah Digunakan untuk memilih apakah akan cocok dengan kebijakan yang digunakan untuk dekapsulasi atau kebijakan yang akan digunakan untuk enkapsulasi.
• di - berlaku di PREROUTING itu, INPUT dan rantai MAJU
• keluar - berlaku di POSTROUTING, OUTPUT dan rantai MAJU
• IPSec - cocok jika paket dikenakan pengolahan IPsec;
• tidak ada - cocok transportasi paket IPSec.
Sebagai contoh, jika router menerima Ipsec dikemas paket Gre, maka aturan IPSec-kebijakan = di, ipsecwill cocok dengan paket Gre, tapi aturan IPSec-kebijakan = di, tidak akan cocok dengan paket ESP.
|
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp; Default: )
|
Cocok pilihan sundulan IPv4.
• any - paket cocok dengan setidaknya salah satu pilihan IPv4
• loose-source-routing - paket cocok dengan routing pilihan sumber longgar. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
• tidak ada record-route - paket cocok dengan catatan rute pilihan. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
• no-router-alert - tidak cocok dengan paket router mengubah pilihan
• no-source-routing - tidak cocok dengan paket sumber routing pilihan
• no-timestamp - tidak cocok dengan paket pilihan timestamp
• record-route - paket cocok dengan catatan rute pilihan
• router-alert - paket cocok dengan router mengubah pilihan
• ketat-source-routing - paket cocok dengan opsi source routing yang ketat
• timestamp - paket cocok dengan tanda waktu
|
jump-target (name; Default: )
|
Nama dari rantai target untuk melompat ke. Berlaku hanya jika action = jump
|
layer7-protocol (name; Default: )
|
Nama filter Layer7 didefinisikan dalam menu protokol Layer7.
|
limit (integer,time,integer; Default: )
|
Sesuai paket sampai tingkat yang terbatas (tingkat paket atau bit rate). Memerintah menggunakan matcher ini akan cocok sampai batas ini tercapai. Parameter yang ditulis dalam format berikut: menghitung [/ waktu], meledak: modus.
• count - paket atau bit hitungan per interval waktu untuk mencocokkan
• time - menentukan interval waktu di mana paket atau bit count tidak dapat dilampaui (opsional, 1s akan digunakan jika tidak ditentukan)
• burst - awal jumlah paket atau bit untuk mencocokkan: nomor ini akan diisi ulang setiap 10 ms sehingga meledak harus setidaknya 1/100 dari tingkat per detik
• mode - paket atau bit mode
|
log-prefix (string; Default: )
|
Menambahkan teks yang ditentukan pada awal setiap pesan log. Berlaku jika action = log
|
nth (integer,integer; Default: )
|
Cocok setiap paket n. Selengkapnya >>
|
out-bridge-port (name; Default: )
|
Antarmuka yang sebenarnya adalah paket meninggalkan router, jika outgoing interface adalah jembatan. Bekerja hanya jika penggunaan-ip-firewall diaktifkan dalam pengaturan jembatan.
|
out-interface (; Default: )
|
Antarmuka paket meninggalkan router
|
p2p (all-p2p | bit-torrent | blubster | direct-connect | edonkey | fasttrack | gnutella | soulseek | warez | winmx; Default: )
|
Sesuai paket dari berbagai peer-to-peer (P2P) protokol. Tidak bekerja pada dienkripsi paket P2P.
|
packet-mark (no-mark | string; Default: )
|
Sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda paket. Jika tidak ada tanda-diatur, aturan akan ditemukan paket ditandai.
|
packet-size (integer[-integer]:0..65535; Default: )
|
Sesuai paket dari ukuran tertentu atau berbagai ukuran dalam bytes.
|
per-connection-classifier (ValuesToHash:Denominator/Remainder; Default: )
|
PCC matcher memungkinkan untuk membagi lalu lintas ke sungai sama dengan kemampuan untuk terus paket dengan set tertentu pilihan dalam satu aliran tertentu.
|
port (integer[-integer]: 0..65535; Default: )
|
Cocok jika ada (sumber atau tujuan) port yang sesuai dengan daftar yang ditentukan port atau rentang pelabuhan. Berlaku hanya jika protokol TCP atau UDP
|
protocol (name or protocol ID; Default: tcp)
|
Cocok protokol IP tertentu ditentukan oleh protokol nama atau nomor
|
psd (integer,time,integer,integer; Default: )
|
Upaya untuk mendeteksi dan UDP TCP scans. Parameter dalam format berikut WeightThreshold, DelayThreshold, LopPortWeight, HighPortWeight
• WeightThreshold - total berat terbaru TCP / UDP paket dengan port tujuan yang berbeda yang datang dari host yang sama untuk diperlakukan sebagai pelabuhan scan urutan
• DelayThreshold - menunda untuk paket dengan port tujuan yang berbeda yang datang dari host yang sama untuk diperlakukan sebaik mungkin port scan subsequence
• LowPortWeight - berat paket dengan privilege (<= 1024) port tujuan
• HighPortWeight - berat paket dengan non-priviliged pelabuhan tujuan
.
|
random (integer: 1..99; Default: )
|
Sesuai paket secara acak dengan probabilitas yang diberikan
|
reject-with (; Default: )
|
Error Menentukan untuk dikirim kembali jika paket ditolak. Berlaku jika tindakan = menolak
|
routing-mark (string; Default: )
|
Sesuai paket ditandai dengan fasilitas ngoyakkan dengan tanda routing yang
|
src-address (Ip/Netmaks, Ip range; Default: )
|
Sesuai paket yang sumber sama dengan IP tertentu atau jatuh ke kisaran IP tertentu.
|
src-address-list (name; Default: )
|
Cocok dengan alamat sumber dari paket terhadap user-defined daftar alamat
|
src-address-type (unicast | local | broadcast | multicast; Default: )
|
Sesuai jenis sumber alamat:
• unicast - alamat IP yang digunakan untuk titik ke titik transmisi
• lokal - jika alamat ditugaskan ke salah satu interface router
• broadcast - paket dikirim ke semua perangkat di subnet
• multicast - paket diteruskan ke kelompok didefinisikan perangkat
|
src-port (integer[-integer]: 0..65535; Default: )
|
Daftar port sumber dan rentang port sumber. Berlaku hanya jika protokol TCP atau UDP.
|
src-mac-address (MAC address; Default: )
|
Cocok sumber alamat MAC dari paket
|
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg; Default: )
|
Cocok bendera TCP ditentukan
• ack - mengakui Data
• CWR - jendela kemacetan berkurang
• ece - ECN-gema bendera (pemberitahuan kemacetan eksplisit)
• sirip - hubungan dekat
• psh - fungsi mendorong
• pertama - koneksi penurunan
• syn - koneksi baru
• urg - Data mendesak
|
tcp-mss (integer: 0..65535; Default: )
|
Cocok nilai TCP MSS dari sebuah paket IP
|
time (time-time,sat | fri | thu | wed | tue | mon | sun; Default: )
|
Memungkinkan untuk membuat filter berdasarkan waktu kedatangan paket 'dan tanggal, atau untuk paket lokal yang dihasilkan, waktu dan tanggal keberangkatan
|
ttl (integer: 0..255; Default: )
|
Cocok nilai paket TTL
|
Stats
/ip firewall filter print stats
akan menampilkan read-only tambahan properti
Property
|
Description
|
bytes (integer)
|
Jumlah total byte cocok dengan aturan
|
packets (integer)
|
Jumlah total paket cocok dengan aturan
|
Secara default cetak setara dengan mencetak statis dan menunjukkan aturan hanya statis.
[admin@dzeltenais_burkaans] /ip firewall mangle> print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 prerouting mark-routing 17478158 127631
1 prerouting mark-routing 782505 4506
Untuk mencetak juga aturan dinamis menggunakan cetak semua.
[admin@dzeltenais_burkaans] /ip firewall mangle> print all stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 prerouting mark-routing 17478158 127631
1 prerouting mark-routing 782505 4506
2 D forward change-mss 0 0
3 D forward change-mss 0 0
4 D forward change-mss 0 0
5 D forward change-mss 129372 2031
Atau hanya mencetak aturan dinamis menggunakan cetak dinamis
[admin@dzeltenais_burkaans] /ip firewall mangle> print stats dynamic
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 D forward change-mss 0 0
1 D forward change-mss 0 0
2 D forward change-mss 0 0
3 D forward change-mss 132444 2079
Menu perintah tertentu
Property
|
Description
|
reset-counters (id)
|
Ulang statistik counter untuk aturan firewall tertentu.
|
reset-counters-all ()
|
Ulang counter statistik untuk semua aturan firewall.
|
contoh dasar
perlindungan router
Katakanlah jaringan pribadi kita adalah 192.168.0.0/24 dan publik (WAN) interface ether1. Kami akan mengatur firewall untuk memungkinkan koneksi ke router itu sendiri hanya dari jaringan lokal kami dan drop sisanya. Juga kita akan memungkinkan protokol ICMP pada antarmuka setiap sehingga siapa pun bisa ping router Anda dari internet.
/ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=icmp action=accept \
comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
in-interface=!ether1
add chain=input action=drop comment="Drop everything else"
perlindungan konsumen
Untuk melindungi jaringan pelanggan, kita harus memeriksa semua lalu lintas yang melewati router dan blok yang tidak diinginkan. Untuk icmp, tcp, udp lalu lintas kita akan membuat rantai, di mana akan turun semua paket yang tidak diinginkan:
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \
comment="allow already established connections"
add chain=forward connection-state=related action=accept \
comment="allow related connections"
Block "bogon" IP addresses
add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=drop
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop
Membuat lompatan ke rantai baru:
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp
Buat rantai tcp dan menyangkal beberapa pelabuhan tcp di dalamnya:
add chain=tcp protocol=tcp dst-port=69 action=drop \
comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \
comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop \
comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop \
comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
Deny port udp dalam rantai udp:
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
Memungkinkan kode icmp hanya diperlukan dalam rantai IGMP:
add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"
0 komentar:
Posting Komentar