آموزش فایروال در میکروتیک (قسمت دوم)
در مطلب پیشین توضیح مختصری در رابطه با فایروال و نحوه عملکرد آن دادیم. همچنین گفتیم که وظیفه یک فایروال پیشگیری از دسترسی غیر مجاز افراد به روتر و کلاینتها میباشد. از طرفی توضیح دادیم که کاربر میتواند قوانینی را تعیین کند که در صورت واجد شرایط بودن افراد میتوانند دسترسیهای محدود و از پیش تعیین شده ای را داشته باشند. در ادامه نیز شما را با بخش هایی از فایروال آشنا کردیم و انواع قوانین فایروال در روتر میکروتیک را برایتان نام بردیم. حالا در بخش دوم آموزش فایروال میخواهیم به نحوه ایجاد محدودیت دسترسی به روتر و دیگر پیش نیازهایی که برای تعریف فایروال در میکروتیک لازم است بدانید بپردازیم.
مطالبی که میآموزید:
با غیر فعال کردن Tracking چه اتفاقی رخ میدهد؟
نکات و ترفندهای اساسی در فایروال
Chain در آموزش فایروال چیست؟
چه زمانی باید از زنجیره Input استفاده کنیم؟
نحوه ایجاد محدودیت دسترسی به روتر
اگر آموزش قبلی در رابطه با فایروال را نخواندید روی لینک زیر کلیک کنید
آموزش فایروال در میکروتیک (قسمت اول)
Tracking در فایروال
نکه مهم در رابطه با Connection Tracking که باید بدانید این است که اگر به هر دلیلی گزینه Tracking را غیر فعال کنید یک سری از feature ها را از دست میدهید.
ویژگیهایی که با غیر فعال کردن گزینه Tracking دیگر عمل نخواهند کرد به شرح زیر است:
- NAT
- Firewall
- connection-mark connection-byts
- connection-state connction-type
- connction-rate connction-limit
- p2p Layer7-protocol
- tarpit new-connection-mark
پس قبل از غیر فعال کردن این مورد حتما در مورد هدفی که دارید مطمئن شوید.
با غیر فعال کردن Tracking چه اتفاقی رخ میدهد:
این مورد به صورت پش فرض روی حالت auto قرار گرفته است ولی شما میتوانید این حالت را تغییر داده و به دلخواه تنظیم کنید. در زیر مراحل غیر فعال کردن Tracking را باهم دنبال خواهیم کرد و میبینیم که چه اتفاقی رخ خواهد داد:
- از طریق winbox وارد تنظیمات روتر خود شوید.
- حالا از نوار ابزار سمت چپ گزینه IP و بعد firewall را انتخاب کنید.
- در پنجره firewall بر روی آیتم connction کلیک کنید.
- دکمه Tracking را بزنید حالا از قسمت Enable گزینه no را انتخاب نمایید.
- در آخر دکمه Apply و OK را بزنید.
بعد از غیر فعال کردن گزینه Tracking همه اطلاعات جدول شما حذف میشود.
اگر بر روی آیتم NAT کلیک کنید به دلیل غیر فعال بودن Tracking هیچ فعالیتی را به شما نمایش نمیدهد.
همچنین در قسمت Filter Rules خواهید دید که همه گزینه های آن غیر فعال میشود.* دقت کنید در تنظیمات فایروال هرگز نباید گزینه Tracking غیر فعال باشد زیرا فعالیت برخی از موارد دیگر نمایش داده نمیشود و از دسترس خارج میگردد.
نکات و ترفند های اساسی در فایروال
نکات دیگری که در آموزش Firewall باید به آن ها اشاره کنیم مواردی هستند که به شما کمک می کنند تا در ایجاد فایروال خطای کمتری را مرتکب شوید و دقیق تر عمل کنید.
قبل از شروع این کار حتما یک استراتژی ایجاد کنید.
حتما سناریویی که قرار است ایجاد کنید در جایی یادداشت کرده تا طبق آن عمل کنید.
وقتی قوانین را وارد میکنید مشخص کنید که برای چه کاری آن را ایجاد کردید.
بعد از پایان یک قانون به سراغ ایجاد قانون بعدی بروید.
اولین چیزی که باید مشخص کنید Chain است.
قبل از کانفیگ کردن هر قانون safe mode را فعال کنید.
فعال کردن گزینه safe mode به شما کمک میکند تا قوانین را اعمال کنید اما این قوانین ذخیره نشوند. این به این دلیل است تا از ذخیره شدن خطاهایی که هنگام ایجاد Rule ها پیش میآید جلوگیری شود تا در فرصتی مناسب اصلاح شوند.
chain در آموزش فایروال چیست؟
chain یا زنجیره گروهی از رولها هستند که هدف خاصی را دنبال میکنند. رولهای فایروال در این زنجیره ذخیره شدهاند. این رولها بر اساس شماره ترتیبی که بر روی chain دارند اولویت بندی شده و بعد پردازش میشوند. از طرفی همیشه تعدادی chain پیش فرض در روتر وجود دارد همچنین به کاربران این امکان را میدهد تا بتوانند chainهای جدیدی نیز تعریف کنند.
زنجیرههای پیش فرض را فیلتر کنید (Filter default chains)
در مقاله فایروال چیست ما زنجیرههای مختلف فایروال را برایتان توضیح دادیم این زنجیرهها که به طور پیش فرض در فایروال وجود دارند به شرح زیر هستند:
Input : به ترافیکی که مقصد آن خود روتر است input میگویند.
Output : به ترافیکی که مبداء و منشاء آن خود روتر باشد output میگویند.
Forward : به ترافیکی که از روتر عبور می کند forward میگویند.
- به تصویر بالا دقت کنید در این تصویر میبینید که کاربر از طریق لپ تاپ به وینباکس متصل شده است مقصد خود روتر است که به اصطلاح به این زنجیره Input میگوییم.
- حالا فرض کنید از خود روتر قرار است جایی را Ping کنید به این زنجیره به اصطلاح output گفته میشود.
- اگر کاربر بخواهد از لپ تاپ خود به اینترنت متصل شود یا یک صفحه وب را در مرورگر خود باز کند. در این جا چون مقصد جایی دیگر غیر از روتر است و ترافیک از روتر عبور میکند به اصطلاح آن را زنجیره Forward مینامیم.
چه زمانی باید از زنجیره Input استفاده کنیم
Input شامل فیلتر Ruleهایی است که از روتر در برابر عوامل مخرب محافظت و از دسترسی غیر مجاز به کلاینتها و روتر جلوگیری میکند.
حالا فرض کنید میخواهید دسترسی به روتر را توسط Input محدود کنید و اجازه ندهید که افراد و IPهای خاصی به روتر دسترسی پیدا کنند و تنها به لپ تاپ اجازه دسترسی بدهید. در مرحله اول باید سناریوی خود را بنویسید و بعد آن را روی روتر پیاد کنید. در زیر مراحل کار را برای شما شرح میدهیم:
نحوه ایجاد محدودیت دسترسی به روتر
از طریق winbox وارد تنظیمات روتر خود شوید.
از نوار ابزار به ترتیب IP >> Firewall >> Filter rules را انتخاب کنید.
حالا بر روی آیتم + کلیک کنید تا یک پنجره جدید ظاهر شود.
در قسمت General زنجیره یا chain مورد نظر را وارد کنید.
حالا چون میخواهیم دسترسی لپ تاپ به روتر را باز بگذاریم به ترتیب زیر عمل میکنیم
در فیلد ورودی Src. Address باید IP لپ تاپ را وارد کنید
حالا وارد تب Action شوید و از قسمت action گزینه accept را انتخاب و بعد بر روی دکمه OK کلیک کنید
حالا برای گذاشتن کامنت بر روی Rule ایجاد شده کلیک کرده و از نوار ابزار سمت راست گزینه Comment را انتخاب میکنیم.
comment را میتوانید به فارسی یا انگلیسی در این قسمت قرار دهید.
برای این کار به ترتیب زیر عمل کنید.
سپس در این مرحله قصد داریم دسترسی افراد به روتر را ببندیم پس به ترتیب زیر عمل میکنیم.
در پنجره Firewall Rule بر روی آیتم + کلیک میکنیم تا یک Rule جدید ایجاد شود.
در قسمت General در فیلد Chain گزینه Input را انتخاب میکنیم.
حالا بر روی تب Action کلیک میکنیم و در قسمت Action گزینه drop را انتخاب میکنیم.
در این مرحله بر روی دکمه Comment کلیک کنید و بستن دسترسی افراد رو قرار دهید و در آخر بر روی دکمه Ok مانند مرحله قبل کلیک کنید.
حالا میبینید که دسترسی افراد به روتر به جز لپ تاپ محدود شد. برای اطمینان از این عمل میتوانید با یک آی.پی دیگر وارد روتر شوید و ببنید که دسترسی شما با IP دیگر محدود شده است.
کلام پایانی
در قسمت دوم آموزش فایروال میکروتیک ما با برخی از نکات و اصطلاحات مهم در فایروال آشنا شدیم علاوه بر آن یاد گرفتیم که چگونه می توانیم دسترسی افراد به جز IP مورد نظر را ببندیم. برای آموزش های بیشتر در رابط با فایروال شبکه دیدهبان را دنبال کنید.
جهت اطلاع از قیمت محصولات میکروتیک با شبکه دیدهبان تماس بگیرید : 20 21 9100 – 021
مراحل ثبت سفارش تعمیر تجهیزات شبکه :
- تماس با دفتر و ارسال تجهیزات به دفتر شبکه دیده بان
- بررسی مشکلات تجهیزات شبکه و اعلام هزینه به شما
- در صورت تایید شما ، تعمیر انجام می شود.
- ارسال تجهیزات در اسرع وقت
نکات مهم پروسه تعمیرات تجهیزات شبکه :
- مشکل و ایرادات احتمالی دستگاه را در برگهای نوشته و همراه دستگاه به دفتر شبکه دیدهبان ارسال فرمایید.
- نام و شماره تلفن مسئول پیگیری تجهیزات را حتما درج بفرمایید.
- به دلیل زیاد بودن تعداد کالاهای تعمیری ، حتما پیگیر کالای خود باشید.
شبکه دیده بان وارد کننده و ارائه کننده انواع تجهیزات شبکه برند های معروف است. از جمله خدمات مجموعه حرفه ای شبکه دیده بان :
- 48 ساعت مهلت تست
- یک سال گارانتی
- ارسال در اسرع وقت به تمام نقاط ایران
- مشاوره رایگان قبل از خرید محصول
- امکان کانفیگ و راه اندازی بعد از خرید محصول
- تعمیر تجهیزات شبکه
جهت سفارش یا مشاوره با کارشناسان فروش با شماره های زیر تماس بگیرید :
02191002120
09128005038