لطفا دوستان سوالات مربوط به تاپيك "آموزش كاربردي فايروال ميكروتيك" رو در اينجا قرار مطرح كنند .
موضوعات مشابه:
- آموزش كاربردي فايروال ميكروتيك
- آموزش مديريت ترافيك با ميكروتيك
- يك مجموعه كامل آموزشي ميكروتيك (حدود 45مگابايت)
لطفا دوستان سوالات مربوط به تاپيك "آموزش كاربردي فايروال ميكروتيك" رو در اينجا قرار مطرح كنند .
موضوعات مشابه:
- آموزش كاربردي فايروال ميكروتيك
- آموزش مديريت ترافيك با ميكروتيك
- يك مجموعه كامل آموزشي ميكروتيك (حدود 45مگابايت)
نه بابا ، ظاهرا هيچ كس اين تاپيك ها رو نمي خونه ! فقط خودم گه گاه رد بشم به همه جا يه دستمال بكشم نره زير گرد و خاك !
------------------------------------------------------------
اي سوال رو يكي از دوستان با پيام خصوصي پرسيده ، ازشون اجازه گرفتم بزارمش اينجا :
ميخوام يه رول بنويسم كه كسي از رو اينترنت نتونه به پورت هاي باز سيستمم دسترسي داشته باشه و فقط به پورت 80 دسترسي داشته باشه.
ميخوام كسي از خارج نتونه وارد شبكه من بشه و فقط پرت 80 رو باز بزارم .
ip هاي من :
local: 10.10.10.1 ethe 1
wan: X.X.X.X ethe 2
------------------------------------------------------------
شما مشخص نكردين سيستم مورد نظر همون ميكروتيكتون هست يا خير . اگر خير اي پي وليد داره يا نه ؟ يه توضيح بيشتر بفرماييد در خدمتتون هستم .
بعد اگر نت كرديد اينترنت رو هم بفرماييد و اينكه سيستم يه كلاينت هست كه از اينترنت استفاده مي كنه يا صرفا يه وب سرور كه قرار پورت 80 ديده بشه ...
ممنون از حسن توجه شما
در مورد سيستم بايد بگم كه من چند كلاينت دارم كه به ميكروتيك وصله . يكي از كلاينت ها وب سرور هست و بقيش معمولي اگه توضيح بديو واسه هر كدومش توضيح بديد كه چيكاركنم ممنون ميشم.
آيپي وليد ندارم چه فرقي ميكنه ؟ اگه توضيح بدي ممنون ميشم.
اينترنت نت شده.
باز هم ممنون
خوب اين وب سرور اگه اي پي وليد نداره ، از بيرون قابل دسترسي نيست كه شما بخوايي پورت هاي بازشو ببندي .
حالا يك سوال
يه ip valid دارم حالا چيكار كنم؟
يعني اگه ip valid داشته باشم چيكار كنم؟
به نظر من با دستنیشن نت سرور رو قایم کنی خیلی بهتره . اما در کل با دو تا رول به این شکل می تونی عمل کنی :
ترتیب این دوتا مهمه . اولین رول اجازه میده هر کسی به پورت 80 ای ÷ی مورد نظر شما - در اینجا 1.1.1.1 - دسترسی پیدا کنه و بعدی دسترسی به این ای ÷ی رو کلا می بنده . فقط این دوتا رول روی ای پی های هم رنج ای پی اصلی کار نمی کنه ! چرا ؟ - اینو خودت پیداش کن -/ip firewall filteradd action=accept chain=forward disabled=no dst-address=1.1.1.1 dst-port=80 \
protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward disabled=no dst-address=1.1.1.1 src-address=\
0.0.0.0/0
مثال : مثلا ای پی شما 1.1.1.0/24 هست . این رول روی ای پی های 1.1.1.2 تا 1.1.1.254 تاثیری نداره .
ویرایش توسط mehrzadmo : 2012-02-23 در ساعت 05:54 PM
آقا مهرزاد عزیز ، پیشنهادی واسه این سوال من داری؟
ندیدن و پینگ نشدن ip ولید از بیرون ، بعد از بالانس در میکروتیک
شاید با یه رول یا mangle خاصی مشکل حل بشه.من خیلی باهاش ور رفتم و هی chain ها و mangle ها و رول های مختلف رو امتحان کردم اما نتونستم کاری کنم.اصلا چرا دسترسی به ip ولید ها وجود نداره؟چه اشتباهی وجود داشته تو کار من؟
آره ديگه . اون 1 ها مثال اي پي پابليك شماست ...
يه چند تا رول رو كه ميكروتيك براي حفظ امنيت پايه روتر بورد و كاربرانتون پيشنهاد داده رو با هم بررسي مي كنيم :
1- Router protection
دستور اول كانكشن هاي اينوليد رو دراپ مي كنه و بعدي به كانكشن اي ايستابليشد اجازه عبور مي ده .کد:/ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop Invalid connections" add chain=input connection-state=established action=accept comment="Allow Established connections" add chain=input protocol=icmp action=accept comment="Allow ICMP" add chain=input src-address=192.168.0.0/24 action=accept in-interface=!ether1 add chain=input action=drop comment="Drop everything else"
دستور سوم پكتهاي icmp رو قبول مي كنه .
و چهارمي تمام درخواست هايي كه ا رنج 192.168.0.0 باشه و از اينترفيس اتر 1 نباشد قبول مي كنه .
آخري هم كه تمام پكت هاي ورودي رو حذف مي كنه .
سوال :
1- اگر رول چهارم رو با رول سوم جابجا كنيم چه ميشه ؟ اگر پنجمي رو با رول سومي جابجا كنيم چي ميشه ؟
2- اينترفيس WAN ميكروتيك بالا كدومه ؟
2- Customer protection
کد:کد:/ip firewall filteradd chain=forward protocol=tcp connection-state=invalid \ action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept \ comment="allow already established connections" add chain=forward connection-state=related action=accept \ comment="allow related connections"
اينم مثل بالايي هاست فقط چين شون فرق مي كنه .
3- Block "bogon" IP addresses
کد:add chain=forward src-address=0.0.0.0/8 action=drop add chain=forward dst-address=0.0.0.0/8 action=drop add chain=forward src-address=127.0.0.0/8 action=drop add chain=forward dst-address=127.0.0.0/8 action=drop add chain=forward src-address=224.0.0.0/3 action=drop add chain=forward dst-address=224.0.0.0/3 action=drop
سوال : بوگون اي پي آدرس چيه ؟ و چرا ميكروتيك پيشنهاد داده جلوش گرفته بشه ؟
اين رول ها از اينجا اومده :
Manual:IP/Firewall/Filter - MikroTik Wiki
ویرایش توسط mehrzadmo : 2012-03-09 در ساعت 03:07 PM
من یه سوال در مورد فوروارد کردن پورت توی فایروال میکروتیک دارم
ممنون میشم جواب بدین
من میخوام همه پورت ها به کامپبوتر مقصد فوروارد بشه به جز چندتا پورت که خودم تعیین میکنم اگه میشه راهنمایی کنید
مثلا واسه ریموت کردن میومدم توی قسمت Dst.Port رو میزاشتم 3389 که فقط پورت 3389 فوروارد میشه
حالا میخوام همه پورت ها فوروارد بشه اما 3389 فوروارد نشه اینو چجوری باید تنظیم کنم
ممنون از جوابتون
البته واسه فوروارد کردن همه پورت ها اگه Dst.port چیزی ننویسیم همه رو فوروارد میکنه ولی من میخوام 3تا پورت فوروارد نشه
یا اینکه چجوری میشه 3تا پورت رو فوروارد کرد؟؟ چجوری 3تا پورت رو بنویسم توی Dst.Port???
لطفا به "آموزش كاربردي فايروال ميكروتيك"مراجعه كنيد .
سلام
چجوری میتونم که ارتباط کاربر ها رو با استفاده از مک آدرس به سرور قطع کنم؟
توی تب advanced فیلتر گزینه Src MAC Address .چجوری میتونم که ارتباط کاربر ها رو با استفاده از مک آدرس به سرور قطع کنم؟
همونطور که می دونی ، تو فوروارد از نت استفاده میشه که ما در موردش صحبت نکردیم . اما موردی رو که شما دنبالشی رو تو همون قسمت اول من گفتم .مهرزاد جان من تاپیک آموزشتو دنبال میکنم اما جواب سوالمو پیدا نکرده بودم واسه همین اینجا مطرح کردم
این قسمت پست اول رو ببین :
تست نکردم اما فکر کنم می تونی بتونی سه پورت رو با کاما از جدا کنی و ...براي معكوس كردن اين دستور روي مربع كوچك ابتداي كادر كليك مي كنيم . يك علامت "!" در كادر ظاهر ميشود . اين علامت شبيه عمگر not در برنامه نويسي عمل مي كند . يعني رنجي جز اين رنج حق دسترسي ندارد