معرفی
فیلترهای فایروال برای اجازه دادن یا مسدود کردن بستههای خاصی که به شبکه محلی شما ارسال میشوند، از روتر شما یا مقصد روتر ارسال میشوند، استفاده میشوند.
دو روش برای تنظیم فیلتر وجود دارد:
- به ترافیک خاصی اجازه دهید و هر چیز دیگری را رها کنید
- فقط ترافیک مخرب را رها کنید، هر چیز دیگری مجاز است.
هر دو روش مزایا و معایبی دارند، به عنوان مثال، از نظر امنیتی، روش اول بسیار امنتر است، اما هر زمان که ترافیک سرویس جدید باید پذیرفته شود، به ورودی مدیر نیاز دارد. این استراتژی کنترل خوبی بر ترافیک فراهم می کند و احتمال رخنه به دلیل پیکربندی نادرست سرویس را کاهش می دهد.
از سوی دیگر، هنگام ایمن سازی شبکه مشتری، پذیرش تمام خدمات ممکنی که کاربران ممکن است استفاده کنند، یک کابوس اداری است. بنابراین برنامه ریزی دقیق فایروال در تنظیمات پیشرفته ضروری است.
یک فیلتر فایروال از سه زنجیره از پیش تعریف شده تشکیل شده است که نمی توان آنها را حذف کرد:
- ورودی – برای پردازش بسته های وارد شده به روتر از طریق یکی از رابط ها با آدرس IP مقصد که یکی از آدرس های روتر است استفاده می شود. بسته هایی که از مسیریاب عبور می کنند برخلاف قوانین زنجیره ورودی پردازش نمی شوند
- فوروارد – برای پردازش بسته های عبوری از روتر استفاده می شود
- خروجی – برای پردازش بسته هایی استفاده می شود که از روتر منشا گرفته و آن را از طریق یکی از اینترفیس ها ترک می کنند. بسته هایی که از روتر عبور می کنند برخلاف قوانین زنجیره خروجی پردازش نمی شوند
هنگام پردازش یک زنجیره، قوانین به ترتیبی که در آنجا از بالا به پایین فهرست می شوند، از زنجیره گرفته می شوند. اگر بسته ای با معیارهای قانون مطابقت داشته باشد، عمل مشخص شده بر روی آن انجام می شود و هیچ قانون دیگری در آن زنجیره پردازش نمی شود (به استثنای عمل عبور است). اگر بسته ای با هیچ قانون در زنجیره داخلی مطابقت نداشته باشد، پذیرفته می شود. جزئیات بیشتر پردازش بسته در RouterOS در نمودار Packet Flow در RouterOS توضیح داده شده است .
IPv4
خواص
ویژگی | شرح |
---|---|
action (action name; Default: accept) | اقدامی که باید در صورت مطابقت یک بسته با قانون انجام شود:
|
address-list-timeout (none-dynamic | none-static | time; Default: none-dynamic) | فاصله زمانی که پس از آن آدرس از لیست آدرس مشخص شده توسط پارامتر حذف می شود. در ارتباط با یا اعمال استفاده می شود
|
chain (name; Default: ) | مشخص می کند که به کدام قانون زنجیره ای اضافه شود. اگر ورودی با نام یک زنجیره از قبل تعریف شده مطابقت نداشته باشد، یک زنجیره جدید ایجاد می شود |
comment (string; Default: ) | نظر توصیفی برای قانون |
connection-bytes (integer-integer; Default: ) | بسته ها را فقط در صورتی مطابقت می دهد که مقدار معینی از بایت از طریق اتصال خاص منتقل شده باشد. 0 – به معنای بی نهایت است، برای مثال به این معنی است که اگر بیش از 2 مگابایت از طریق اتصال مربوطه منتقل شده باشد، قانون مطابقت دارد. connection-bytes=2000000-0 |
connection-limit (integer,netmask; Default: ) | اتصالات را در هر آدرس یا بلوک آدرس پس از رسیدن به یک مقدار مشخص مطابقت می دهد. باید همراه با connection-state=new و/یا با tcp-flags=syn استفاده شود زیرا تطبیق بسیار به منابع نیاز دارد. |
connection-mark (no-mark | string; Default: ) | بسته های علامت گذاری شده از طریق تسهیلات مانگل را با علامت اتصال خاص مطابقت می دهد. اگر بدون علامت تنظیم شود، این قانون با هر اتصال بدون علامت مطابقت دارد |
connection-nat-state (srcnat | dstnat; Default: ) | می تواند اتصالاتی را که دچار اختلال، حواس پرتی یا هر دو هستند مطابقت دهد. توجه داشته باشید که connection-state=related connections connection-nat-state با جهت اولین بسته تعیین می شود. و اگر ردیابی اتصال نیاز به استفاده از dst-nat برای ارائه این اتصال به همان هاست اتصال اصلی داشته باشد، حتی اگر قوانین dst-nat وجود نداشته باشد، در connection-nat-state=dstnat خواهد بود. |
connection-rate (Integer 0..4294967295; Default: ) | نرخ اتصال یک تطبیق فایروال است که امکان ثبت ترافیک را بر اساس سرعت فعلی اتصال فراهم می کند |
connection-state (established | invalid | new | related | untracked; Default: ) | داده های تجزیه و تحلیل ردیابی اتصال را برای یک بسته خاص تفسیر می کند:
|
connection-type (ftp | h323 | irc | pptp | quake3 | sip | tftp; Default: ) | بستههای اتصالات مرتبط را بر اساس اطلاعات دستیاران ردیابی اتصال آنها مطابقت میدهد. یک کمک کننده اتصال مربوطه باید در زیر : /ip firewall service-port فعال شود |
content (string; Default: ) | بسته هایی را که حاوی متن مشخص شده اند مطابقت دهید |
dscp (integer: 0..63; Default: ) | با فیلد سرصفحه IP DSCP مطابقت دارد. |
dst-address (IP/netmask | IP range; Default: ) | بسته هایی را مطابقت می دهد که مقصد آنها برابر با IP مشخص شده است یا در محدوده IP مشخص قرار می گیرد. |
dst-address-list (name; Default: ) | آدرس مقصد یک بسته را با لیست آدرس تعریف شده توسط کاربر مطابقت می دهد. |
dst-address-type (unicast | local | broadcast | multicast ) | مطابق با نوع آدرس مقصد:
|
dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: ) | بسته ها را تا زمانی که از یک نرخ معین تجاوز کند مطابقت می دهد. نرخ به عنوان بسته ها در بازه زمانی تعریف می شود. برخلاف تطبیق حد ، هر جریانی حد خاص خود را دارد. جریان با یک پارامتر حالت تعریف می شود. پارامترها به فرمت زیر نوشته می شوند: .
|
dst-port (integer[-integer]: 0..65535; Default: ) | فهرست شماره پورت مقصد یا محدوده شماره پورت |
fragment (yes|no; Default: ) | بسته های تکه تکه شده را مطابقت می دهد. قطعه اول (شروع) به حساب نمی آید. اگر ردیابی اتصال فعال باشد، هیچ قطعه ای وجود نخواهد داشت زیرا سیستم به طور خودکار هر بسته را جمع آوری می کند |
hotspot (auth | from-client | http | local-dst | to-client; Default: ) | بسته های منطبق دریافتی از مشتریان HotSpot در برابر تطبیق دهنده های مختلف HotSpot.
|
icmp-options (integer:integer; Default: ) | مطابق با نوع ICMP: فیلدهای کد |
in-bridge-port (name; Default: ) | واسط واقعی بسته وارد روتر شده است اگر رابط ورودی یک پل باشد. فقط در صورتی کار می کند که use-ip-firewall در تنظیمات پل فعال باشد. |
in-bridge-port-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند درون پل پورت کار می کند |
in-interface (name; Default: ) | رابط بسته وارد روتر شده است |
in-interface-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند درون رابط کار می کند |
ingress-priority (integer: 0..63; Default: ) | با اولویت یک بسته ورودی مطابقت دارد. اولویت ممکن است از بیت VLAN، WMM، DSCP یا MPLS EXP گرفته شود. ادامه مطلب |
ipsec-policy (in | out, ipsec | none; Default: ) | با خط مشی استفاده شده توسط IPsec مطابقت دارد. مقدار در قالب زیر نوشته شده است: . جهت برای انتخاب مطابقت با خط مشی مورد استفاده برای کپسولاسیون یا خط مشی مورد استفاده برای کپسولاسیون استفاده می شود.
به عنوان مثال، اگر یک روتر یک بسته Gre کپسوله شده IPsec دریافت کند، قانون با بسته Gre مطابقت دارد، اما یک قانون با بسته ESP مطابقت دارد. |
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp; Default: ) | با گزینه های سرصفحه IPv4 مطابقت دارد.
|
jump-target (name; Default: ) | نام زنجیره هدف برای پرش. قابل اجرا فقط اگر action=jump |
layer7-protocol (name; Default: ) | نام فیلتر Layer7 در منوی پروتکل لایه7 تعریف شده است. |
limit (integer,time,integer; Default: ) | بسته ها را تا یک نرخ محدود (نرخ بسته یا نرخ بیت) مطابقت می دهد. قاعده ای که از این تطبیق استفاده می کند تا رسیدن به این حد مطابقت دارد. پارامترها به فرمت زیر نوشته می شوند: .
|
log (yes | no; Default: no) | پیامی را به گزارش سیستم اضافه کنید که حاوی داده های زیر است: in-interface، out-interface، src-mac، protocol، src-ip:port->dst-ip:port و طول بسته. |
log-prefix (string; Default: ) | متن مشخص شده را در ابتدای هر پیام گزارش اضافه می کند. قابل اجرا در صورت پیکربندی action=log یا log=yes . |
nth (integer,integer; Default: ) | با هر بسته n مطابقت دارد: قانون nth=2,1 با اولین بسته 2 مطابقت دارد، بنابراین، 50٪ از کل ترافیکی که با قانون مطابقت دارد |
out-bridge-port (name; Default: ) | واسط واقعی بسته از روتر خارج می شود اگر رابط خروجی یک پل باشد. فقط در صورتی کار می کند که use-ip-firewall در تنظیمات پل فعال باشد. |
out-bridge-port-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند out-bridge-port کار می کند |
out-interface (; Default: ) | رابط بسته در حال خروج از روتر |
out-interface-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند رابط خارجی کار می کند |
packet-mark (no-mark | string; Default: ) | بسته های علامت گذاری شده از طریق تسهیلات mangle را با علامت بسته خاص مطابقت می دهد. اگر بدون علامت تنظیم شود، این قانون با هر بسته بدون علامت مطابقت دارد. |
packet-size (integer[-integer]:0..65535; Default: ) | بسته هایی را با اندازه یا محدوده اندازه مشخص در بایت مطابقت می دهد. |
per-connection-classifier (ValuesToHash:Denominator/Remainder; Default: ) | تطبیق PCC اجازه می دهد تا ترافیک را به جریان های مساوی با قابلیت نگهداری بسته ها با مجموعه ای خاص از گزینه ها در یک جریان خاص تقسیم کنید. ادامه مطلب >> |
port (integer[-integer]: 0..65535; Default: ) | در صورتی که هر یک از پورت ها (منبع یا مقصد) با لیست مشخص شده پورت ها یا محدوده پورت مطابقت داشته باشد مطابقت دارد. فقط اگر TCP یا UDP باشد قابل اجرا است protocol |
priority (integer: 0..63; Default:) | با اولویت بسته پس از تعیین اولویت جدید مطابقت دارد. اولویت ممکن است از بیت VLAN، WMM، DSCP، MPLS EXP یا از اولویتی که با استفاده از اقدام اولویت تنظیم تنظیم شده است، مشتق شود . ادامه مطلب |
protocol (name or protocol ID; Default: tcp) | با پروتکل IP خاصی که با نام یا شماره پروتکل مشخص شده است مطابقت دارد |
psd (integer,time,integer,integer; Default: ) | تلاش برای شناسایی اسکن TCP و UDP. پارامترها در قالب زیر هستند
|
random (integer: 1..99; Default: ) | بسته ها را به طور تصادفی با یک احتمال معین مطابقت می دهد |
reject-with (icmp-admin-prohibited | icmp-net-prohibited | icmp-protocol-unreachable | icmp-host-prohibited | icmp-network-unreachable | tcp-reset | icmp-host-unreachable | icmp-port-unreachable; Default: icmp-network-unreachable) | خطای ICMP را مشخص می کند که در صورت رد شدن بسته بازگردانده شود. قابل اجرا اگر |
routing-table (string; Default: ) | بسته هایی را که آدرس مقصد در جدول مسیریابی مشخصی حل شده است مطابقت می دهد. |
routing-mark (string; Default: ) | بسته های مشخص شده توسط تسهیلات مانگل را با علامت مسیریابی خاص مطابقت می دهد |
src-address (Ip/Netmask, Ip range; Default: ) | بسته هایی را مطابقت می دهد که منبع برابر با IP مشخص شده است یا در محدوده IP مشخص قرار می گیرد |
src-address-list (name; Default: ) | آدرس منبع یک بسته را با لیست آدرس های تعریف شده توسط کاربر مطابقت می دهد |
src-address-type (unicast | local | broadcast | multicast | blackhole | prohibit | unreachable ; Default: ) | mote{ta{tableMatches نوع آدرس منبع:
|
src-port (integer[-integer]: 0..65535; Default: ) | لیست پورت های منبع و محدوده پورت های منبع. فقط اگر پروتکل TCP یا UDP باشد قابل اجرا است |
src-mac-address (MAC address; Default: ) | آدرس MAC منبع بسته را مطابقت می دهد |
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg; Default: ) | با پرچم های TCP مشخص شده مطابقت دارد
|
tcp-mss (integer[-integer]: 0..65535; Default: ) | با مقدار TCP MSS یک بسته IP مطابقت دارد |
time (time-time,sat | fri | thu | wed | tue | mon | sun; Default: ) | امکان ایجاد فیلتری بر اساس زمان و تاریخ رسیدن بسته ها یا برای بسته های تولید شده محلی، زمان و تاریخ خروج |
tls-host (string; Default: ) | به ترافیک HTTPS مطابق با نام میزبان TLS SNI اجازه می دهد. دستور GLOB را برای تطبیق حروف عام می پذیرد . توجه داشته باشید که تطبیق دهنده نمی تواند با نام میزبان مطابقت داشته باشد اگر قاب دست دادن TLS به چند بخش TCP (بسته) تقسیم شود. ویدیوی ما را در مورد این ارزش تماشا کنید . |
ttl (integer: 0..255; Default: ) | با ارزش TTL بسته ها مطابقت دارد |
آمار
برای نمایش خصوصیات فقط خواندنی اضافی :
/آمار چاپ فیلتر فایروال ip
ویژگی | شرح |
---|---|
bytes (integer) | تعداد کل بایت های مطابق با قانون |
packets (integer) | تعداد کل بسته های مطابق با قانون |
[admin@MikroTik] > ip firewall filter print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 D ;;; special dummy rule to show fasttrack counters
forward passthrough 50 507 925 242 50 048 246
1 ;;; defconf: drop invalid
forward drop 432 270 9 719
2 ;;; defconf: drop invalid
input drop 125 943 2 434
3 input accept 20 090 211 549 20 009 864
4 ;;; defconf: accept ICMP
input accept 634 926 7 648
5 ;;; defconf: drop all not coming from LAN
input drop 4 288 079 83 428
6 ;;; defconf: accept in ipsec policy
forward accept 0 0
7 ;;; defconf: accept out ipsec policy
forward accept 0 0
8 ;;; defconf: fasttrack
forward fasttrack-connection 28 505 528 775 31 504 682
9 ;;; defconf: accept established,related, untracked
forward accept 28 505 528 775 31 504 682
10 ;;; defconf: drop all from WAN not DSTNATed
forward drop 0 0
IPv6
/ipv6/firewall/filter
خواص
ویژگی | شرح |
---|---|
action (accept | add-dst-to-address-list | …; Default: accept) | اقدامی که باید در صورت مطابقت یک بسته با قانون انجام شود:
|
address-list-timeout (none-dynamic | none-static | time; Default: none-dynamic) | فاصله زمانی که پس از آن آدرس از لیست آدرس مشخص شده توسط پارامتر حذف می شود. در ارتباط با یا اعمال استفاده می شود
|
chain (name; Default: ) | مشخص می کند که به کدام قانون زنجیره ای اضافه شود. اگر ورودی با نام یک زنجیره از قبل تعریف شده مطابقت نداشته باشد، یک زنجیره جدید ایجاد می شود |
comment (string; Default: ) | نظر توصیفی برای قانون |
connection-bytes (integer-integer; Default: ) | بسته ها را فقط در صورتی مطابقت می دهد که مقدار معینی از بایت از طریق اتصال خاص منتقل شده باشد. 0 – به معنای بی نهایت است، برای مثال به این معنی است که اگر بیش از 2 مگابایت از طریق اتصال مربوطه منتقل شده باشد، قانون مطابقت دارد. connection-bytes=2000000-0 |
connection-limit (integer,netmask; Default: ) | اتصالات را در هر آدرس یا بلوک آدرس پس از رسیدن به یک مقدار مشخص مطابقت می دهد. باید همراه با connection-state=new و/یا با tcp-flags=syn استفاده شود زیرا تطبیق بسیار به منابع نیاز دارد. |
connection-mark (no-mark | string; Default: ) | بسته های علامت گذاری شده از طریق تسهیلات مانگل را با علامت اتصال خاص مطابقت می دهد. اگر بدون علامت تنظیم شود، این قانون با هر اتصال بدون علامت مطابقت دارد |
connection-rate (Integer 0..4294967295; Default: ) | نرخ اتصال یک تطبیق فایروال است که امکان ثبت ترافیک را بر اساس سرعت فعلی اتصال فراهم می کند |
connection-state (established | invalid | new | related | untracked; Default: ) | داده های تجزیه و تحلیل ردیابی اتصال را برای یک بسته خاص تفسیر می کند:
|
connection-type (ftp | h323 | irc | pptp | quake3 | sip | tftp; Default: ) | بستههای اتصالات مرتبط را بر اساس اطلاعات دستیاران ردیابی اتصال آنها مطابقت میدهد. یک کمک کننده اتصال مربوطه باید در زیر : /ip firewall service-port فعال شود |
content (string; Default: ) | بسته هایی را که حاوی متن مشخص شده اند مطابقت دهید |
dscp (integer: 0..63; Default: ) | با فیلد سرصفحه IP DSCP مطابقت دارد. |
dst-address (IP/netmask | IP range; Default: ) | بسته هایی را مطابقت می دهد که مقصد آنها برابر با IP مشخص شده است یا در محدوده IP مشخص قرار می گیرد. |
dst-address-list (name; Default: ) | آدرس مقصد یک بسته را با لیست آدرس های تعریف شده توسط کاربر مطابقت می دهد . |
dst-address-type (unicast | local | broadcast | multicast; Default: ) | مطابق با نوع آدرس مقصد:
|
dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: ) | بسته ها را تا زمانی که از یک نرخ معین تجاوز کند مطابقت می دهد. نرخ به عنوان بسته ها در بازه زمانی تعریف می شود. برخلاف تطبیق حد ، هر جریانی حد خاص خود را دارد. جریان با یک پارامتر حالت تعریف می شود. پارامترها به فرمت زیر نوشته می شوند: .
|
dst-port (integer[-integer]: 0..65535; Default: ) | فهرست شماره پورت مقصد یا محدوده شماره پورت |
icmp-options (integer:integer; Default: ) | مطابق با نوع ICMP: فیلدهای کد |
in-bridge-port (name; Default: ) | واسط واقعی بسته وارد روتر شده است اگر رابط ورودی یک پل باشد. فقط در صورتی کار می کند که use-ip-firewall در تنظیمات پل فعال باشد. |
in-bridge-port-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند درون پل پورت کار می کند |
in-interface (name; Default: ) | رابط بسته وارد روتر شده است |
in-interface-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند درون رابط کار می کند |
ingress-priority (integer: 0..63; Default: ) | با اولویت یک بسته ورودی مطابقت دارد. اولویت ممکن است از بیت VLAN، WMM، DSCP یا MPLS EXP گرفته شود. |
ipsec-policy (in | out, ipsec | none; Default: ) | با خط مشی استفاده شده توسط IPsec مطابقت دارد. مقدار در قالب زیر نوشته شده است: . جهت برای انتخاب مطابقت با خط مشی مورد استفاده برای کپسولاسیون یا خط مشی مورد استفاده برای کپسولاسیون استفاده می شود.
به عنوان مثال، اگر یک روتر یک بسته Gre کپسوله شده IPsec دریافت کند، قانون با بسته Gre مطابقت دارد، اما یک قانون با بسته ESP مطابقت دارد. |
jump-target (name; Default: ) | نام زنجیره هدف برای پرش. قابل اجرا فقط اگر action=jump |
limit (integer,time,integer; Default: ) | بسته ها را تا یک نرخ محدود (نرخ بسته یا نرخ بیت) مطابقت می دهد. قاعده ای که از این تطبیق استفاده می کند تا رسیدن به این حد مطابقت دارد. پارامترها به فرمت زیر نوشته می شوند: .
|
log (yes | no; Default: no) | پیامی را به گزارش سیستم اضافه کنید که حاوی داده های زیر است: in-interface، out-interface، src-mac، protocol، src-ip:port->dst-ip:port و طول بسته. |
log-prefix (string; Default: ) | متن مشخص شده را در ابتدای هر پیام گزارش اضافه می کند. قابل اجرا در صورت پیکربندی action=log یا log=yes . |
nth (integer,integer; Default: ) | با هر بسته n مطابقت دارد: قانون nth=2,1 با اولین بسته 2 مطابقت دارد، بنابراین، 50٪ از کل ترافیکی که با قانون مطابقت دارد |
out-bridge-port (name; Default: ) | واسط واقعی بسته از روتر خارج می شود اگر رابط خروجی یک پل باشد. فقط در صورتی کار می کند که use-ip-firewall در تنظیمات پل فعال باشد. |
out-bridge-port-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند out-bridge-port کار می کند |
out-interface (; Default: ) | رابط بسته در حال خروج از روتر |
out-interface-list (name; Default: ) | مجموعه ای از رابط های تعریف شده در لیست رابط. مانند رابط خارجی کار می کند |
packet-mark (no-mark | string; Default: ) | بسته های علامت گذاری شده از طریق تسهیلات mangle را با علامت بسته خاص مطابقت می دهد. اگر بدون علامت تنظیم شود، این قانون با هر بسته بدون علامت مطابقت دارد. |
packet-size (integer[-integer]:0..65535; Default: ) | بسته هایی را با اندازه یا محدوده اندازه مشخص در بایت مطابقت می دهد. |
per-connection-classifier (ValuesToHash:Denominator/Remainder; Default: ) | تطبیق PCC اجازه می دهد تا ترافیک را به جریان های مساوی با قابلیت نگهداری بسته ها با مجموعه ای خاص از گزینه ها در یک جریان خاص تقسیم کنید. |
port (integer[-integer]: 0..65535; Default: ) | در صورتی که هر یک از پورت ها (منبع یا مقصد) با لیست مشخص شده پورت ها یا محدوده پورت مطابقت داشته باشد مطابقت دارد. فقط اگر TCP یا UDP باشد قابل اجرا است protocol |
priority (integer: 0..63; Default:) | با اولویت بسته پس از تعیین اولویت جدید مطابقت دارد. اولویت ممکن است از بیت VLAN، WMM، DSCP، MPLS EXP یا از اولویتی که با استفاده از اقدام اولویت تنظیم تنظیم شده است، مشتق شود . |
protocol (name or protocol ID; Default: tcp) | با پروتکل IP خاصی که با نام یا شماره پروتکل مشخص شده است مطابقت دارد |
random (integer: 1..99; Default: ) | بسته ها را به طور تصادفی با یک احتمال معین مطابقت می دهد |
reject-with (icmp-address-unreachable | icmp-admin-prohibited | icmp-no-route | icmp-not-neighbour | icmp-port-unreachable | tcp-reset ; Default: icmp-no-route) | خطای ICMP را مشخص می کند که در صورت رد شدن بسته بازگردانده شود. قابل اجرا اگر
|
routing-mark (string; Default: ) | بسته های مشخص شده توسط تسهیلات مانگل را با علامت مسیریابی خاص مطابقت می دهد |
src-address (Ip/Netmask, Ip range; Default: ) | بسته هایی را مطابقت می دهد که منبع آنها برابر با IP مشخص شده است یا در محدوده IP مشخص قرار می گیرد |
src-address-list (name; Default: ) | آدرس منبع یک بسته را با لیست آدرس های تعریف شده توسط کاربر مطابقت می دهد |
src-address-type (unicast | local | broadcast | multicast; Default: ) | مطابق با نوع آدرس منبع:
|
src-port (integer[-integer]: 0..65535; Default: ) | لیست پورت های منبع و محدوده پورت های منبع. فقط اگر پروتکل TCP یا UDP باشد قابل اجرا است |
src-mac-address (MAC address; Default: ) | آدرس MAC منبع بسته را مطابقت می دهد |
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg; Default: ) | با پرچم های TCP مشخص شده مطابقت دارد
|
tcp-mss (integer[-integer]: 0..65535; Default: ) | با مقدار TCP MSS یک بسته IP مطابقت دارد |
time (time-time,sat | fri | thu | wed | tue | mon | sun; Default: ) | امکان ایجاد فیلتری بر اساس زمان و تاریخ رسیدن بسته ها یا برای بسته های تولید شده محلی، زمان و تاریخ خروج |
tls-host (string; Default: ) | به ترافیک HTTPS مطابق با نام میزبان TLS SNI اجازه می دهد. دستور GLOB را برای تطبیق حروف عام می پذیرد . توجه داشته باشید که تطبیق دهنده نمی تواند با نام میزبان مطابقت داشته باشد اگر قاب دست دادن TLS به چند بخش TCP (بسته) تقسیم شود. |
آمار
/ipv6/firewall/filter/print/stats
برای نمایش خصوصیات فقط خواندنی اضافی :
ویژگی | شرح |
---|---|
bytes (integer) | تعداد کل بایت های مطابق با قانون |
packets (integer) | تعداد کل بسته های مطابق با قانون |
مثال
نمونه ای از نحوه ایمن سازی صحیح دستگاه خود را می توانید در مقاله ساختن اولین فایروال ما بیابید !