运用网吧软路由配置防火墙的基本原则
　　假定我们有一个当地网经过网吧路由衔接到internet，那么根本的防火墙构建准则由以下几局部构成：
　　1、维护路由防止没有认证的拜访
　　必需监控那些到路由的衔接。只能答应某些特定的主机到路由某些特定的tcp端口的拜访。这项任务可以在input中设置，以便比拟匹配经过路由一切衔接界面到路由目标地址的数据包。
　　2、维护当地主机
　　必需监控那些到当地网络地址的衔接。只要有权到某些主机服务的衔接才干被答应。这项任务可以在forward中设置，以便比拟匹配决议经过路由一切衔接界面到当地网路目标地址的数据包。
　　3、应用nat将当地的网络埋没在一个公网的ip后面。
　　一切当地网络的衔接被假装成来自路由自身的公网地址。这项任务可以经过启用假装行为来完成源地址转换规矩。
　　4、强迫当地网络衔接到公网的拜访准则。
　　必需监控那些来自当地网络地址的衔接。这项任务可以经过forward中设置，或许经过假装哪些被答应的衔接来完成。数据的过滤会对router的功能形成必然的影响，为了把这个影响降到最低，这些过滤的规矩必需放在各个chain的顶部。这个在传输节制和谈选项non-syn-only中。
　　防火墙过滤实例
　　完成目的：
　　目的1、让路由只答应来自10.5.8.0/24网络地址的拜访。
　　目的2、维护当地主机（192.168.0.0/24）远离未受权的拜访。
　　目的3、让公网可以拜访当地主机192.168.0.17的http和smtp服务。
　　目的4、只答应当地网络中的主机进行icmpping操作。强迫运用在192.168.0.17主机上的署理服务。
　　假定我的网络设置如下：
　　公网ip:10.0.0.217/24网关ip：10.0.0.254
　　内网ip:192.168.0.254/24内网服务器地址：192.168.0.17/24
　　step1
　　为了完成第一个目的，我们必需对一切经过路由的数据包进行过滤，只承受哪些我们答应的数据。由于一切经过路由的数据包都要经由inputchain进行处置，所以，我们可以在ip->firewall->ruleinput中参加以下规矩。
　　[admin@MikroTik]>ipfirewallruleinput
　　[admin@MikroTik]ipfirewallruleinput>addprotocol=tcp[admin@MikroTik]ipfirewallruleinput>tcp-options=non-syn-onlyconnection-state=established
　　[admin@MikroTik]ipfirewallruleinput>addprotocol=udp
　　[admin@MikroTik]ipfirewallruleinput>addprotocol=icmp
　　[admin@MikroTik]ipfirewallruleinput>addsrc-addr=10.5.8.0/24
　　[admin@MikroTik]ipfirewallruleinput>addaction=rejectlog=yes
　　经过上述设置，inputchain就可以完成只承受10.5.8.0/24地址段的衔接，而把其他衔接都回绝而且记载到日记。
　　Step2
　　为了维护当地网络，我们必需对经过路由拜访当地网络也就是对192.168.0.0/24一段地址的拜访的数据包进行比对挑选，这个功用可以在forwardchain中完成。在forward中，我们可以依托ip地址对数据包进行匹配，然后跳转到我们本人创立的chain中，比方这里我们创立一个customerchain并参加一些规矩。
　　[admin@MikroTik]ipfirewall>addname=customer
　　[admin@MikroTik]ipfirewall>print
　　#NAMEPOLICY
　　0inputaccept
　　1forwardaccept
　　2outputaccept
　　3customernone
　　[admin@MikroTik]ipfirewall>rulecustomer
　　[admin@MikroTik]ipfirewallrulecustomer>protocol=tcptcp-options=non-syn-onlyconnection-state=established
　　[admin@MikroTik]ipfirewallrulecustomer>addprotocol=udp
　　[admin@MikroTik]ipfirewallrulecustomer>addprotocol=icmp
　　[admin@MikroTik]ipfirewallrulecustomer>addprotocol=tcptcp-options=syn-onlydst-address=192.168.0.17/32:80[admin@MikroTik]ipfirewallrulecustomer>addprotocol=tcptcp-options=syn-onlydst-address=192.168.0.17/32:25
　　[admin@MikroTik]ipfirewallrulecustomer>addaction=rejectlog=yes
　　经过上述规矩，我们在customerchain中设定了对数据包的过滤规矩，那么下面我要做的就是在forwardchain中做一个跳转，将一切进入到当地网的数据跳转到customerchain中处置。
　　[admin@MikroTik]ipfirewallruleforward>addout-interface=Localaction=jumpjump-target=customer
　　如许，一切经过路由进入到当地网络的数据包都将经过customerchain中的防火墙规矩进行过滤。
　　Step3
　　为了强迫当地网络的主机经过192.168.0.17这台署理服务器拜访internet，我们应该在forward链中参加以下规矩。
　　[admin@MikroTik]ipfirewallruleforward>addprotocol=icmpout-interface=Public
　　[admin@MikroTik]ipfirewallruleforward>addsrc-address=192.168.0.17/32out-interface=Public
　　[admin@MikroTik]ipfirewallruleforward>addaction=rejectout-interface=Public
　　至此运用网吧软路由配置防火墙的具体步骤就结束了，如果你想要了解更多的关于网吧路由的资讯或知识，可以继续关注我们哦！