Tìm hiểu về Firewall và NAT trong Mikrotik




Xin chào
Nhân dịp này tôi sẽ giải thích một chút về Chuỗi có trong Tường lửa Microt, để bạn bè có thể tìm hiểu các chức năng của từng Chuỗi

QUY TẮC LỌC

Quy tắc bộ lọc thường được sử dụng để tạo chính sách cho dù lưu lượng truy cập có trong mạng hay không, giống hệt với chấp nhận hoặc bỏ. Trên menu Tường lửa → Bộ lọc Quy tắc có 3 loại chuỗi có sẵn.

Chuỗi bao gồm Chuyển tiếp , Đầu vào , Đầu ra . Các chức năng của mỗi chuỗi như sau:
- Chuyển tiếp :
Được sử dụng để xử lý lưu lượng gói dữ liệu chỉ đi qua bộ định tuyến. Ví dụ: lưu lượng truy cập từ mạng công cộng đến cục bộ hoặc ngược lại từ mạng cục bộ sang mạng công cộng, ví dụ về các trường hợp như khi chúng tôi đang duyệt.

Trình duyệt lưu lượng truy cập máy tính xách tay vào internet có thể được quản lý bằng tường lửa bằng cách sử dụng chuỗi chuyển tiếp.

- Đầu vào :
Được sử dụng để xử lý lưu lượng gói dữ liệu đi vào bộ định tuyến thông qua giao diện trên bộ định tuyến và có Địa chỉ IP đích dưới dạng IP trên bộ định tuyến.

Loại lưu lượng này có thể từ một mạng công cộng hoặc từ một mạng cục bộ cho mục đích của chính bộ định tuyến. Ví dụ: Truy cập bộ định tuyến bằng Winbox, WebFig, Telnet cả từ Công cộng và Địa phương.

- Đầu ra :
Được sử dụng để xử lý lưu lượng gói dữ liệu đi ra khỏi bộ định tuyến. Nói cách khác, nó trái ngược với 'Đầu vào'. Vì vậy, lưu lượng truy cập đến từ bên trong bộ định tuyến với mục đích là Mạng công cộng và Mạng cục bộ.

Ví dụ: từ thiết bị đầu cuối winbox mới, chúng tôi ping google ip. Sau đó, lưu lượng này có thể được nắm bắt trong chuỗi đầu ra.



NAT (Dịch địa chỉ mạng)

Trong menu Firewall → NAT có 2 loại tùy chọn chuỗi có sẵn, đó là dst-nat và src-nat . Và chức năng của chính NAT là thay đổi Địa chỉ nguồn và Địa chỉ đích .

Sau đó, các chức năng của mỗi chuỗi như sau:
- dstnat :
Có chức năng thay đổi địa chỉ đích trong gói dữ liệu. Thường được sử dụng để làm cho máy chủ trong mạng cục bộ có thể truy cập từ bên ngoài mạng (internet) bằng NAT sẽ thay thế địa chỉ IP đích của gói bằng địa chỉ IP cục bộ.

Vì vậy, kết luận về chức năng của chuỗi này là thay đổi / thay đổi Địa chỉ IP đích trong gói dữ liệu.


- srcnat :
Có chức năng thay đổi địa chỉ nguồn của gói dữ liệu. Ví dụ: các chức năng của chuỗi này được sử dụng rộng rãi khi chúng tôi truy cập các trang web từ mạng LAN.

Theo quy định đối với Địa chỉ IP cục bộ, không được phép vào mạng WAN, cấu hình 'srcnat' này là bắt buộc. Vì vậy, Địa chỉ IP cục bộ sẽ bị ẩn và được thay thế bằng Địa chỉ IP công cộng được cài đặt trên bộ định tuyến.


MANGLE

Trên menu Tường lửa → Mangle, có 4 loại lựa chọn cho chuỗi, đó là Chuyển tiếp , Đầu vào ,Đầu ra , Mở đầu và Đăng xuất . Bản thân Mangle có chức năng đánh dấu một kết nối hoặc gói dữ liệu, đi qua tuyến đường, đi vào bộ định tuyến hoặc thoát khỏi bộ định tuyến.

Khi triển khai, Mangle thường được kết hợp với các tính năng khác như Băng thông quản lý ,Chính sách định tuyến , v.v. Các chức năng của mỗi chuỗi trong mangle như sau:


- Chuyển tiếp, đầu vào, đầu ra :
Đối với giải thích về Chuyển tiếp, Đầu vào và Đầu ra, thực tế không khác nhiều so với những gì đã được mô tả trong các quy tắc Lọc ở trên.

Nhưng trong Mangle, tất cả các loại gói dữ liệu chuyển tiếp, đầu vào và đầu ra có thể được đánh dấu dựa trên các kết nối hoặc gói hoặc gói dữ liệu.


- Mở đầu :
Đó là một kết nối sẽ vào bộ định tuyến và đi qua bộ định tuyến. Không giống như đầu vào chỉ thu lưu lượng truy cập vào bộ định tuyến.

Lưu lượng truy cập đi qua bộ định tuyến và lưu lượng truy cập vào bộ định tuyến có thể được ghi lại trong quá trình mở rộng chuỗi.


- Hậu kỳ :

Ngược lại với prerouting, postrouting là một kết nối sẽ thoát khỏi bộ định tuyến, cả cho lưu lượng đi qua bộ định tuyến hoặc thoát khỏi bộ định tuyến.

Vâng, thông qua lời giải thích ngắn gọn này, hy vọng rằng bạn bè của tôi sẽ hiểu rõ hơn về chức năng của từng Chuỗi trong Tường lửa Microtic.
hy vọng hữu ích