9. 防火牆規則運用**

~規則有順序性，由上往下執行。順序錯誤有時會造成規則失效。

REJECT 比 DROP 多返回一個 ICMP 錯誤信息包，兩個策略各有優劣：

DROP 比 REJECT 好在節省資源，而且延緩駭客攻擊的進度（因為不會返回任何

有關伺服器的信息），壞處是讓單位網絡問題難以查找。

REJECT 容易診斷和調試網絡設備或防火墻造成的問題。

所以一般建議是單位內部中使用 REJECT，單位連外網的防火墻上，使用 DROP 要相對安全一些。

□防火牆規則實際運用

#禁止 ip 連某網站

Ip > firewall +

Chain forward src-address=192.168.1.8

content=facebook action=drop 彰化縣學校路由器架設與應用（Routeros 解決方案） 湖南國小 許銘堯 編寫 2014.08

19

※註解的使用：Comment

#禁止網段連某網站

Ip > firewall +

Chain forward src-address=192.168.1.0/24

content=facebook action=drop 彰化縣學校路由器架設與應用（Routeros 解決方案） 湖南國小 許銘堯 編寫 2014.08

20

#允許某些 IP 連某網站（其底下應配合一條規則是限制其餘 IP 不准訪問）

Ip > firewall +

Chain forward src-address=192.168.1.200-192.168.1.220

content= tw.yahoo.com action=accept 彰化縣學校路由器架設與應用（Routeros 解決方案） 湖南國小 許銘堯 編寫 2014.08

21

※不准訪問某網站

Ip > firewall +

Chain forward src-address=192.168.1.0/24

content= tw.yahoo.com action=drop

※以上兩條規則的順序很重要，先許允某些 IP，再禁止其餘 IP。

◎練習題：禁止學生 192.168.1.5-192.168.1.98 瀏覽含有「sex」字眼的網站。

◎練習題：建立規則允許 192.168.1.99 瀏覽「土豆網」、「優酷」、「百度」，其餘 IP 禁止瀏覽。

#建立惡意 IP 群組（使用 Address Lists）

※若不知道對方 IP，只知道網域名稱，可以利用 ping 方式（winbox: tools > ping 輸入

網域名稱例如 www.dj3344.com 就能查得 IP 位址）。

IP > firewall > address Lists +

name: badip

address: 95.134.152.58

同樣方法，在新增以下 IP

66.154.55.147

109.73.70.114

178.95.61.252

109.73.78.98

41.226.24.2

58.68.228.123

175.117.151.224

173.203.104.57

61.90.198.172

201.144.41.210

217.149.243.26

125.224.121.170

119.145.149.78

213.34.207.198

95.134.62.195 

91.124.162.157

#封鎖惡意 IP 群組

Ip > firewall +

Chain forward Src-Address-List=badip action=drop

Ip > firewall +

Chain input Src-Address-List=badip action=drop

#允許端口 port

#不同端口 port 用逗號隔開

Ip > firewall +

Chain forward protocol=tcp src-address=192.168.1.0/24 填寫自己 的 網 段

dst-port=20,21,22,53,80,82,443 action=accept comment="acceptTCPport"

Ip > firewall +

Chain forward protocol=udp src-address=192.168.1.0/24 填 寫 自 己 的 網 段

dst-port=20,21,22,53,80,82,443 action=accept comment="acceptUDPport"

#關閉 port

Ip > firewall +

chain=forward protocol=tcp src-address=192.168.1.0/24 填寫自己的網段

dst-port=1-65534 action=drop comment="dropPort"

 

#可以建立允許一些常用連接 port 的規則

Ip > firewall +

Chain forward protocol=tcp src-address=192.168.1.0/24 填寫自己 的 網 段

dst-port=20,21,22,53,80,82,443,8291 action=accept comment="AcceptPort"

◎練習題：chain 採用 input，關閉通訊協定 tcp、udp 的 135-139 port 並加以註解

#135Port：遠端程序呼叫服務。

#137Port：NetBIOS 名稱服務。

#139Port：Windows 檔和印表機共用以及 Unix 中的 Samba 服務。

◎練習題：建立 192.168.1.201、192.168.1.211、192.168.1.223 三個 IP 為 myServer 網址群組

開放 tcp、udp 53,80,443 服務的 port。

#常見危險的 port：TCP 135、139、445、593、1025 和 UDP 135、137、138、445

#常見病毒的後門 port（TCP 2745、3127、6129 ），以及遠程服務訪問 3389

※重要：單機 TCP 連接數太大者紀錄下來（紀錄一天）

ip firewall > forward,src address 192.168.1.2-192.168.1.250,protocol 6tcp >

extra,Connection Limit limit 200 netmask 32 > action add src to address list

,address list 輸入「連線太多電腦」Timeout 1d 00:00:00 一天

#重要：TCP 連接數管理

※此範例指限定 192.168.1.2-192.168.1.250 位址者，tcp 連接數只能有 150 條，超過 150 條的拒絕。這些位址還是能正常上網，如果單機中毒或亂下載，一直狂發 tcp 連接數，此規則能適時管控。（可以從 IP > firewall > connection 裡觀察各 IP 連接情形）

ip firewall > forward,src address 192.168.1.2-192.168.1.250, protocol 6tcp >

extra,Connection Limit limit 150 netmask 32 > action drop

◎練習題：新增規則限定 192.168.2.0/24 此網段的 tcp 連接數超過 200 條的紀錄下來。超過 120 的 drop 拒絕。

 

□頻寬管理

※限定某網段頻寬

Queues > Simple Queues > name:t1（自取名稱） target address=192.168.2.0/24 填入網段

upload:2M download:20M comment 可以加入註解彰化縣學校路由器架設與應用（Routeros 解決方案） 湖南國小 許銘堯 編寫 2014.08

24

 

※限定某 IP 頻寬

Queues > Simple Queues > name:t55（自取名稱） target address=192.168.2.55 填入要限定

的 IP

upload:500k download:800k comment：加入註解「一甲教師機」

◎練習題：設定公文主機 192.168.2.200 的頻寬為上傳 2M，下載 6M，註解「公文主機」

□routeros 顯示 graphs 流量圖

Tools->Graphing->Interface Rules，點選+，加入新的 Interface Graphing Rule，Interface 可以選任一個網路界面，或是全部 all，按 OK

在 winbox->Tools->Graphing->Interface Graphs 中我們就能觀察到界面流量圖

※如果開啟網頁服務，就能在 192.168.1.1/graphs 看到流量圖

（注意：開啟關閉網頁服務 ip > services，其中 192.168.1.1 是指您的服務器位址）

※如果有設 Queues 限速，可以在 Queues Graphs 看到個別的流量圖。

◇Web Proxy 網頁代理（port 不一定要設 8080）

然後在 IP --> Firewall --> NAT 中新加一個規則:

一般

dsnat tcp dst port 80 in 介面 lan

action redirect 8180 注意：規則拉到原本 masquerade 上面

IP --> Web Proxy --> Access --> 點 Web Proxy Setting -->General 設置網頁代理

勾 enable

apply

Max client connection 最大可以設到 5000

Max server connection 最大可以設到 5000 ※新增 Access 中可以設置 使用代理的權限,可以對部

分 IP 地址做限制,相當與 ip 的 firewall,

web proxy 新增 access 規則

src 192.168.2.0/24

dst. host tw.yahoo.com deny

※導向另外一個網站

新增 access 規則

src 192.168.2.0/24

dst. host *facebook* deny redirect www.gov.tw 意思是 有人上 facbook 網站 會自動導向 www.gov.tw 永遠看不到 facebook

□區域內部架設 server

ip firewall >nat> dstnat，dstnat address 163.23.xx.xx，

protocol tcp ，dst port 80 > action,dst-nat,192.168.x.x,to ports

80

□虛擬 IP 連接網際網路（以某個真實 IP 訪外）

ip firewall >nat> srcnat，src address 192.168.2.0/24，

選好連外的網卡（例如 wan），> action, src-nat, 163.23.x.x

□備份設定檔

Files > Backup 設定檔還原

Files > 選定設定檔，然後按「Restore」