1、RouterOSRouterOS防火墻與過濾詳解防火墻與過濾詳解(二)RouterOSRouterOSIPIPfirewallfirewallfilterfilter工作原理工作原理下面是三條預先設置好了的chains，他們是不被能刪除的：input–用于處理進入路由器的數(shù)據(jù)包，即數(shù)據(jù)包目標IP地址是到達路由器一個接口的IP地址，經(jīng)過路由器的數(shù)據(jù)包不會在inputchains處理。fward–用于處理通過路由器的數(shù)據(jù)包output–用于

2、處理源于路由器并從其中一個接口出去的數(shù)據(jù)包。當處理一個chain（數(shù)據(jù)鏈），策略是從chain列表的頂部從上而下執(zhí)行的。即先進先出法（FirstInFirstOut）如圖:我們通過先進先出法可以理解到，過濾數(shù)據(jù)時我們可以通過以下的兩種原則“先丟棄后接受和先接受后丟棄”：從input鏈表中可以看到，我們對進入路由器的數(shù)據(jù)采用先拒絕非法的數(shù)據(jù)和連接，并將ICMP數(shù)據(jù)跳轉(zhuǎn)到自定義的ICMP的鏈表中過濾。下面是fward鏈表一個應用防火墻事例：