فایروال در میکروتیک استاد نادری محسن بیاتانی 8412502...

میکروتیک در فایروال

نادری استاد

بیاتانی محسن8412502قم دانشگاه

1388.3.14

مقدمه:• چیست؟ میکروتیک

• واقع در و است عامل سیستم یک نام میکروتیکشرکت لینوکسکه کرنل به است رابطی

به مربوط سرویسهای فقط آن در میکروتیکسیستم این در بعد، صفحات در که آنچه و شبکه

است کرده اندازی راه شود می معرفی .عامل• کرنل پایه بر است سیستمی پسمیکروتیکآن روی شبکه سرویسهای فقط لینوکسکه

شده اندازی .راه

: میکروتیک دستگاه معرفی

•: کرده ارایه قالب دو در را خود محصول میکروتیک شرکت•Router Board:محصول • این مشتری OSو Hardwareدر تحویل دستگاه یک قالب در دو هر

. شود میمدل • نیاز مورد های اینترفیس@ نوع@ و اینترفیس@ تعداد به توجه با حالت این در

. کند می@ تغییر دستگاه

•RouterOS:فقط • حالت این و OSدر شود می خریداری شرکت از عامل سیستم همان یا

یک روی بر . PCباید حد در نیاز مورد سیستم که است ذکر قابل شود P3نصبباید حتما استفاده مورد هارد و کافیست .IDEهم باشد

: میکروتیک کار محیط

میکروتیک • کار می Command Baseمحیطباشد.

نام • به ای ساده افزار نرم کار، سهولت برای میکروتیک شرکتWinBox میکروتیک سرور به ویندوز طریق از که کرده طراحی

سرویسهای گرافیکی ساده محیط یک در و شده کانکت. کند می ارایه را میکروتیک

: شود می ارایه میکروتیک در که سرویسهایی•. شده داده نمایش عکس با ها سرویس این از بعضی زیر در

: میکروتیک مهم ازسرویسهای بعضیقسمت- 1• :interfaceدر قبیل از هایی سرویس تصاویر به توجه با• vlanning, tunnling, ppp, pppoE, Bridg. دارد ... وجود و•2-Routed وRouting:به • مربوط های سرویس از توانیم سرویسمی این وسیله .routeبه کنیم استفاده•3 -Firewall•4 -DNS•5-Proxy server •6-DHCP •7 -AAA: •Atuntication Autorization Acountingنام • با سرویس .Hotspotاین شده معرفی میکروتیک در•8 -QOS•Quality of service نام به ای گزینه در .Qeueuesکه است شده بیان

: میکروتیک قدرت و ضعف نقاطسرویس- • در را میکروتیک قدرت توان QOSمی

آن طبع به که دانست بسیار Firewallآن هم آن. دارد جالبی بسیار های گزینه و باشد می قوی

• -Hotspot سرویس دهنده ارایه که میکروتیکAAA. است کرده عمل قوی بسیار نیز باشد می

توان cashو DNSسرویس- • می را میکروتیک. آورد شمار به میکروتیک ضعف نقاط از

: میگیرد قرار بررسی مورد پروژه این در آنچههای • گزینه از بسیاری بررسی به فقط پروژه در FireWallاین که پردازد می

لینک به میکروتیک سرویسهای سایر از اطالع به بودن مند عالقه صورت . کار سهولت برای درضمن فرمایید رجوع شد خواهد اشاره پایان در که هایی

از استفاده با سرویس این پروژه، این .WinBoxدر شود می بیان

با رابطه در کوچک ای :Firewallمقدمهچیست؟ • فایروالحداقل • از متشکل است سیستمی یک فایروال

دو حداقل که شبکه با اینترفیسمرتبط دومتصل یکدیگر به را شبکه از قسمت دو یا شبکه

این کردن چک آن اصلی وظیفه و کند میمی قوانین و استانداردها به توجه با ارتباط

باشد.توجه • با دیگر قوانین سری یک توانیم می ما حاال

فایروال قوانین در خودمان شبکه شرایط به. کنیم اضافه

شود؟ • می تشکیل هایی قسمت چه از فایروال•: شود می تشکیل کلی قسمت دو از فایروالکدام- 1• که کند می چک آن در که قسمتی

packet باrule ماmatch. شود مینظرمان- 2• مد که عملی آن در که قسمتی

روی .)packetاست شود می (Actionاعمال

: ها فایروال در قوانین نوشتن برای قانون چند

قوانین • یکسری ها فایروال در دستورات نوشتن برای: شود می اشاره ها آن از بعض@ی به که دارد وجو@د

مگر- 1• باشد می ممنوع ای بسته هر عبو@ر همواره. باشد شده ذکر دستورات در آن خالف اینکه

دستورات- 2• به نسبت باشد باالتر که دستوری هر. دارد ارجحیت خود زیرین

از- 3• مساوی تعداد یک با بتوان را قانو@ن یک اگربا denayیا permitدستورات را دستورات آن نو@شت.permitدستورات نویسیم می

در دستورات نوشتن درمورد ای نکتهمیکروتیک:

نوشتن • در اول قانون سازی پیاده براییک دستورات تمام پایان در همواره دستورات

از Denay Anyدستور خیلی در که دارد وجودبه دستور این سیسکو تجهیزات مانند ها سیستم

میکروتیک در اما دارد وجود پیشفرض طورخود دستورات پایان در و ندارد وجود دستور این

admin. کند وارد را دستور این باید

در موجود های :Firewallگزینه 1- Filter Rules 2- NAT 3-Mangle 4- Service Port 5- Connection 6- Address Lists

Mangle:از • ابتدا توضیح برای

mangle کنم می شروعقسمت در Filter rulesتا

مسایل برخی درک. باشد آسانتر

در • کل طور بهما Mangleقسمت

از را packetیکسری هاخصوصیات یکسری طبق

. کنیم می گذاری عالمتجدید • رول یک ایجاد برای

. زنیم + می را دکمه

General•:Chainداشته • تواند می حالت سه ر@وتر در پکت هر

باشد:•1 -input :های اینترفیس@ از یکی از که هایی پکت

. دارند را سیستم به ورود قصد میک@روتیک•2 -forward :سیستم از عبور@ قصد که هایی پکت

. دارند را•3 -output :از کدام هر از که هایی پکت

. دارند خروج قصد سیستم های اینترفیس@

در • نیز دیگر گزینه قسمت chainدو mangleهایهای نام می postroutingو preroutingبه دیده

یک@سری است قرار قسمت این در چون که شودبرچسب خاص ویژگی یک حسب بر ها پکت از

یا ورود قصد که پکتهایی گزینه دو این با بخور@نددارند را میک@روتیک رو@تر قسمت از خروج

. در قسمت دو این که شوند می زده برچسب.ip routesسرویس دار@د فراوانی کاربر@د

: زیر موارد اساس بر ترافیک بندی طبقه•Source ip Address:•Destination ip address:می • قسمت این در

از استفاده با توانیمsubnet بعد عدد با که

یک / شود می بیان ازرا ها آدرس از دسته

. کرد مشخص

•Protocol:بر@ • توانیم می قس@مت این در

یکسری یا پورت یک portاساسnumber را نظر مورد پروتکل ،

. کنیم انتخابیکسری • اینجا در که شود دقت

که شده برده نام کلی پروتکلهایمد دیگری پروتکل اینها بجز اگریعنی آن نوع باید است نظرتان

TCP یاUDP مشخص را آن بودندو از استفاده با سپس و کرده

, شماره احتیاج بر بنا پایین گزینهدر را نظر مورد source portپورت

.destination portیا کنیم معین

های • :P2Pشبکهتوان • می گزینه این با

های را P2Pشبکه. کرد انتخاب

•In interface :•Out interface:می • گزینه دو این با

که هایی بسته توانیماز خروج یا ورود قصدمعین اینترفیسهایانتخاب دارند را شده

کنیم.

•Packet mark:•Connection mark:•Routing mark:قسمت • با Actionدر بیشتر ها

می آشنا گزینه سه اینشویم.

توانیم • می ما کلی ط@ور به امامارک ... را یا پکتها سری یکقسمت این در سپس و کنیم

شده مارک موارد از ها. کنیم استفاده

مقابل • شکل در Adminمثالقسمت هر به مربوط پکتهای

هر نام با را شرکت یک@ از. است کرده مارک قسمت

Connection State:Connection Type:

شکل در که طور همانبا توان می شود می دیده

یک وضعیت به توجهconnection ،آن نوع یا

را نظر مورد موضوع. کرد انتخاب

Advanceو • تر کلی خیلی را قسمت این توضیح

کنم می سعی و دهم می انجام سریعترتوضیح را مبهم موارد از بعضی فقط

دهم.•Source address list & destinatin list در

که actionقسمت شود می داده توضیحیکسری توانیم می را address listما ها

اینجا در ایم مشخصکرده قبال که. کنیم انتخاب

که contentدر • را پکتهایی توانیم مینظرمان مورد که ای کلمه آنها درمحتوای

. کنیم انتخاب را دارد وجود است•TOS:•(Type Of Service)اساس • بر توانیم می قسمت این در

الیه TOSمولفه هدر مورد 3در پکتهای. کنیم انتخاب را نظر

Actionعملیاتی • قس@مت ای@ن در

بسته روی اس@ت قرار ک@هکردیم انتخاب ک@ه های@یمشخص را دهی@م انجام

. کنیم می•Accept:مشخص • آ@@ن معنای از

در که شرایط@ی ک@ه اس@تTAB مشخص قب@ل های

. کند می تایید را کردیم

•Mark packet& connection:•: دو این درباره کوتاه توضیح یکپروتکل@ • ی@ک ب@ا ارتباط ی@ک هرگاه

ی@ا وب@ ص@فحات@ می ftpمانن@د برق@راری@@ک می connectionشود ایجا@د

شود.سیستم • از خ@یل@ی در و میکروتی@ک در

د@یگ@ر . QOSهای کند می کار پک@ت ب@ااعمال برای های QOSپس پکت باید

.connectionیک کنیم مارک راعملیاتی • ی@ا ده@ی اولوی@ت برای مثال

یک ا@بتدا بای@@د ه@@ا پک@@ت روی برconnection کنیم مارک یا انتخاب@ را@

آن ب@@ه مربوط پکتهای س@@پسconnection . این ک@ه کنیم مارک را

آمده کار همین برای گزین@@ه دواست.

•Mark routing:که • های@ی بس@ته توانی@م م@ی گزین@ه ای@ن ب@ا

ی@ا مس@یردهی اس@ت را routeقرار شوند. کنیم مارک

•Change MSS:تغیی@ر • گزینه MTUبرای ای@ن از توان م@ی

. که اس@ت ذک@ر قاب@ل درضم@ن کرد اس@تفادهاز 40همواره MSSمقدار کمتر واح@د

MTU. است •Change TOS:•(Type Of Service)•TOS الیه هدر در .3را دهد می تغییر•Change TTL:. TTLمیزان • از یکی دهد م@ی تغیی@ر را

تغییر ب@ا مثال ک@ه اس@ت ای@ن آ@ن کاربردهایTTL را سرور عام@ل س@یستم نوع س@رور،

. بیشتر دانی@د م@ی ک@ه همانطور دهیم تغیی@رعامل س@@یستم ک@@ه افزارهای@@ی نرم

تشخیص را شبک@ه ب@ه متص@ل دس@تگاههایروی از دهن@د این TTLم@ی آنه@ا پاس@خگویی

. دهند می انجام را کار

Passthrough:. کن عبور رول این از یعنی

Log:ایم کرده انتخاب که مواردی از

در که ای مشخصه LofباPerfix نویسیم logمی

. کند می برداری

•Jump:توانیم • می گزینه این با

از یکی به را خود 5انتخابدر که ای Jupmگزینه

Target ارجاع دارد وجودموارد. از یکی دهیم

این برای actionاستفادهسمت userفرستادن به هابرای hotspotسرویس

. باشد می هویت احراز•Return:برگردانده • دستور ابتدای به

. شود می

• Add source address & destination • :address to address list

سری • یک@ توانیم می گزینه این باselection کرده انتخاب که را مختلف های

یک داخل در address listایم، که نامی باAddress list در و بریزیم دهیم می

قرار Timeouteقسمت که را زمانی مدتاین در را address listاست بماند

. کنیم مشخصمیاین • در آن کاربردهای از یکی مثال برای

هایی سیستم خواهیم می مثال که استشماره پورت به می 23که درخواست

مدت به . blockدقیقه 5دهند این با شوندمدت به را آنها اسامی در 5گزینه دقیقه

یک Address listیک در و داده ruleقراردر را filteringدیگر لیست آدرس این

block. کنیم می

Filter Rule:

ایجاد • فایروال های قابلیت از filteringیکیاست.

•Filtering از بعضی عبور مورد در اینکه یعنی. کنیم گیری تصمیم پکتها

دکمه • زدن .ruleیک + با کنیم می ایجاد جدید

در • موجود تا filter ruleمواردذکر موارد مشابه زیادی حدود

در در mangleشده که باشد میآن های تفاوت به فقط اینجا

. شد خواهد اشارهقسمت- 1• در اول صفحه در

chain های و prerouteگزینهpostroute به واین ندارد وجود

گزینه دو این که است این دلیلکردن mangleدر مارک برای

در و شد می filteringاستفادهو ندارد وجود کردن مارک دیگر

در که مواردی از است قرارmangle اینجا در اند شده مارک

. و صفحه این در کنیم استفادهوجود تفاوتی دیگر بعد، صفحات

قسمت در مگر .actionندارد

درقسمت- 2• که هایی actionتفاوتحذفشدن دارد وجود

• mark connection & packet & routeشدن • اضافه می rejectوdropو

باشد.دلیل • این به شده حذف های قسمت

در دیگر که نیست filteringاست قرارمارک از است قرار بلکه کنیم مارک

. کنیم استفاده ها شده•Drop:می • ریخته دور شده انتخاب های بسته

شوند.•Reject:کار • با Dropهمان دهد می انجام را

بسته، ریختن دور از بعد که تفاوت ایندرخواست فرستنده به هم پیغام یک

. پیغام متن ضمن در فرستد می. است انتخاب قابل نیز شده فرستاده

: پایانی سخنذکر • درابتدا که مواردی در میکروتیک عامل سیستم

کسانی و مندان عالقه به و کرده کار قوی بسیار شدیک دنبال گردند Bandwith Controlکه می خوب

می Qeueuesقسمت پیشنهاد را عامل سیستم اینکنم.

برای • نهایت در که بگویم باید پایانی جمله عنوان به امالینوکسو سراغ به باید تر دقیق و بزرگ کارهای انجام

میکروتیک و بروید آن شبکه به مربوط سرویسهایبا آشنایی و استفاده برای آسان محیط یک تنها

. است آورده فراهم ما برای را لینوکس

بیشتر آشنایی :برایدیگر • و عامل سیستم این با بیشتر آشنایی برای

های سایت از توانید می آن سرویسهای. .www persianadmins com و

. .www mikrotik com گزینه در Manualیاصفحه با Winboxخود ارتباط برقراری از پس

. کنید استفاده میکروتیک، سرور

منابع:• 1- www.mikrotik.com• 2- www.cisco.com• 3- www.persianadmins.com• 4- www.persiannetworks.com

Contact me:

• Email: m.bayatani@yahoo.com