下面是三条预先设置好了的chains他們是不被能删除的：

• input – 用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址经过路由器的数据包不会在input-chains处理。
• forward – 用于处理通过路由器的数据包
• output – 用于处理源于路由器并从其中一个接口出去的数据包

当处理一个chain（数据链），策略是从chain列表的顶部從上而下执行的如果一个数据包满足策略的条件，这时会执行该操作

我们来看看防火墙过滤原则：

现在我来看事例中的防火墙规则：

峩先从input链表开始，这里是对所有访问路由的数据进行过滤和处理：

从input链表的第一条开始执行这里一共有三条规则：

2 ;;; 丢弃任何访问数据

forward链表，一共有7条规则包括两个跳转到自定义链表ICMP和virus链表：

0 ;;; 接受已建立连接的数据

2 ;;; 丢弃非法数据包

4 ;;; 丢弃掉所有非单播数据

6 ;;; 跳转到病毒链表

在洎定义链表ICMP中，是定义所有ICMP（Internet控制报文协议）ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息ICMP报文通常被IP層或更高层协议（TCP或UDP）使用。例如：ping、traceroute、trace TTL等我们通过ICMP链表来过滤所有的ICMP协议：

ICMP链表操作过程：

2 ;;; MTU线路探测限制为每秒5个包

在virus链表中过滤常見的病毒，我可以根据需要在该链表中添加新的病毒对他们做过滤：

在使用NAT时需要启用Tracking连接跟踪如果你的RouterOS没有使用NAT（如在使用bridge模式下），可以选择关闭tracking降低系统资源。

SYN Cookie是对TCP服务器端的三次握手协议作一些修改专门用来防范SYN Flood***的一种手段。它的原理是在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法再分配专门的数据区进行处理未来的TCP连接。

设置routeros为透明桥接防火墙

文件大小：275.46KB所需财富值：40