نمایش نتایج: از شماره 1 تا 7 از مجموع 7
سپاس ها 121سپاس
  • 27 توسط mehrzadmo
  • 21 توسط mehrzadmo
  • 16 توسط mehrzadmo
  • 11 توسط mehrzadmo
  • 14 توسط mehrzadmo
  • 16 توسط mehrzadmo
  • 15 توسط G4chB0y

موضوع: آموزش كاربردي فايروال ميكروتيك

  
  1. #1
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6

    آموزش كاربردي فايروال ميكروتيك

    مقدمه : چند وقتي ست كه به فايروال ميكروتيك علاقمند شدم . و سعي كردم كار كردن با اونو ياد بگيرم . چيز زيادي نيست اما سعي مي كنم اونو با شما به اشتراك بزارم . الزاما تمام مواردي كه عرض مي كنم درست نيست و خواهش مي كنم در صورتي كه متوجه كاستي يا اشتباهي شديد لطفا تصحيح بفرماييد . ادامه كار هم بسته به توجه و علاقه دوستان داره .
    بحث در اين تاپيك فعلا مربوط به منوي filter مي باشد . و فعلا مباحث لايه 7 و منگل رو بررسي نمي كنيم ...
    در صورتي كه نمي دونيد فايروال چيست به تاپيك زير سر بزنيد :‌در صورتي كه نمي دانيد ميكروتيك چيست به تاپيك زير سر بزنيد : لطفا در صورت داشتن هر گونه سوال در مورد اين مباحث به تاپيك زير سر بزنيد :

    يا
    Chain ها به چه دردي مي خورند ؟

    فايروال بر اساس قوانيني كار مي كند كه به آنها rule گفته ميشود .رول ها از دو قسمت تشكيل ميشوند . قسمت تشخيص دهنده و قسمت قانون . وظيفه قسمت تشخيص دهنده اين است كه پكت هاي مورد نظر مدير شبكه را مشخص كند و قانون برنامه اي است كه ما براي اين پكت ها ترتيب داده ايم – مثلا مسدود شوند –
    تعداد رول ها ارتباط مستقيمي با حجم پردازش روتر دارد . يعني رول بيشتر مساوي ست با پردازش بيشتر . به همين دليل سعي مي كنيم رول ها را دسته بندي و در صورت نياز مورد بررسي و تحت اجرا قوانين قرار دهيم . مثلا قرار است شما يك سري قوانين براي ترافيك مربوط به برنامه هاي p2p در نظر گرفته ايد . پس دليلي ندارد ترافيك مربوط به ساير پروتكل ها را بررسي و زمان پردازنده را اتلاف كنيم . اين كار توسط چين ها صورت مي پذيرد . چين ها خود به دو گروه تقسيم مي شوند :
    1- از پيش تعريف شده
    2- تعريف شده توسط كاربر
    در ميكروتيك شما با سه چين از پيش تعريف شده سروكار داريد . همچنين لازم به ذكر است كه اين چين ها غير قابل حذف مي باشند
    1- چين input : اين چين مربوط به دسته پكت هايي است كه مقصدشان خود دستگاه شماست . مثلا كاربري از اينترنت دستگاه شما را پينگ كند . يا زماني كه شما با كمك وين باكس يا ديگر روش هاي ممكن به ميكروتيك متصل شويد . اين گونه ترافيك ها در اين چين قرار مي گيرند .
    2- output : مربوط است به ترافيكي كه از خود روتر شما خارج – چه اينترنت و چه شبكه محلي – مي شود . مثلا از داخل روتر سعي در تل نت كردن به سيستم يا دستگاهي را داشته باشيد . يا روتر سعي در اتصال به سرويس دهنده هاي DNS يا NTP و امثالهم را داشته باشد .
    3- چين forward : مربوط به ترافيكي است كه از روتر شما عبور مي كند . مثلا يك سيستم داخلي درخواست سايتي را از اينترنت داشته باشد . و روتر شما نقش گيت وي را داشته باشد .
    در ادامه به چين هاي تعريف شده توسط كاربر و دليل و زمان استفاده از آنها اشاره خواهيم كرد .



    First rule

    همانطور كه اشاره شد با كمك چين ها شما مي توانيد دايره تاثير گذاري قوانين فايروال –رول ها – رو محدود كنيد . بر فرض مثال شما بعنوان مدير شبكه تصميم گرفته ايد براي امنيت بيشتر كسي خارج از شبكه نتواند روترتان را پينگ كند . اولين قدم اين است با شناخت نوع ترافيك محدوده تاثير گذاري رول را تا حداكثر ممكن محدود كنيم . چون صرفا هدف بستن پينگ بر روي روتر است ، فقط پكت هايي را بايد پالايش و بررسي كرد كه مقصدشان خود روتر شماست . يعني چين input . بعد همانطور كه مي دانيد دستور پينگ از پروتكل icmp ‌‌ استفاده مي كند . پس باز نيازي به بررسي ساير پروتكل ها نيست . البته شناخت نوع ترافيك هميشه به همين سادگي نيست . مثلا بررسي رفتار ويروس ها يا هكر ها . پس شما بعنوان متخصص امنيت يا مدير شبكه نيازمند دانش وسيعي ازسرويس ها و پروتكل ها و لايه ها و پورت هاي مورد استفاده آنها هستيد . اجازه بدهيد با هم مثال فوق را انجام بدهيم .
    براي اينكار كافي است از منوي ip گزينه فايروال را انتخاب كرده و سپس از تب filter rules گزينه "+"‌ را كليك كنيم . – در مثال هاي بعد از اين مرحله چشم پوشي خواهيم كرد – در پنجره باز شده شما مي توانيد قوانين تشخيص را مشخص كنيد و در نهايت از تب اكشن نحوه برخورد را مشخص كنيد .
    در اين مثال ما با چهار گزينه آبي رنگ – اول – سر و كار داريم . در مورد chain به تفصيل صحبت كرديم . و همانطور كه مي بينيد بر اساس نياز گزينه input انتخاب شده . Source و destination address به ترتيب به منبع و مقصد ترافيك اشاره مي كند . در اين مثال مي توانيد مقصد را بدون استفاده رها كنيد چون چين input مقصد را مشخص كرده است . اما مبدا . ما بايد بتوانيم رنج هايي كه دسترسي آنها بايد مسدود شود را مشخص كنيم . يعني تمام رنج هاي مورد استفاده در اينترنت ! ممكن نيست ! پس از روش ديگري استفاده مي كنيم . رنج مجاز را انتخاب مي كنيم و مي گويم هر آدرسي كه جز اين رنج نيست . مثلا آدرس شبكه محلي در مثال فوق رنج 192.168.1.0/24 مي باشد . پس هر رنجي غير از اين حق پينگ ندارد . در كادر source address رنج مذكور را مي نويسيم . اين يعني كه اين رنج حق دسترسي ندارد ! براي معكوس كردن اين دستور روي مربع كوچك ابتداي كادر كليك مي كنيم . يك علامت "!" در كادر ظاهر ميشود . اين علامت شبيه عمگر not در برنامه نويسي عمل مي كند . يعني رنجي جز اين رنج حق دسترسي ندارد . و در نهايت پروتكل icmp را مشخص مي كنيم . اگر اين قسمت را خالي بگذاريد يعني هر پروتكلي . كه اين كار موجب عدم دسترسي به سايت روتر – اتصال از طريق وين باكس و ... نيز مي گردد .
    در حين تعريف قوانين بسيار دقيق باشيد ، چرا كه ممكن است دسترسي خودتان را نيزقطع كنيد . البته چون فايروال در لايه سه كار مي كند ارتباطات بر پايه مك آدرس شامل اين قوانين نمي شوند . اگر احيانا در تنظيمات دچار اشتباه شديد با كمك وين باكس و بوسيله مك آدرس به روترتان متصل شويد و اشتباه را تصحيح كنيد .

    سعي كنيد براي هر رول با كمك دكمه comment يك توضيح كوتاه اضافه كنيد . تا در آينده قادر به تشخيص رول ها و دليل وجود آنها باشيد .
    بعد از تكميل نحوه شناخت ترافيك به نحوه برخورد با ترافيك يا نيمه دوم مي پردازيم . براي اينكار به تب action رفته و گزينه drop به معناي مسدود كردن را انتخاب مي كنيم . در مورد ساير اكشن ها بعدا صحبت خواهيم كرد .
    Rule دوم


    خوب بياييد يك مقدار كار را جلوتر ببريم . و يك رول جديد به فايروال مان اضافه كنيم . مثلا از شما خواسته شده به ip 10.10.10.10 اجازه پينگ كردن روترتان را بدهيد . مانند قبل يك رول اضافه مي كنيد و تنظيمات را مشابه قبل انجام مي دهيد . با اين تفاوت كه در source address اي پي مورد نياز را مي نويسيد . و بر خلاف رول قبل ، در قسمت اكشن گزينه accept را انتخاب ميكنيد . مانند شكل زير :


    حال اگر درست عمل كرده باشيد بايد منوي فيلترتان مانند زير باشد :

    حال اگر از اي پي مشخص شده كسي سعي در پينگ روتر شما داشته باشد ، بر خلاف انتظار شما نتيجه اي نخواهد گرفت ! – اين مورد را امتحان كنيد - يكي از نكات مهم در نوشتن رول ها كه بايد به آن توجه فراواني داشته باشيد نحوه اجرا شدن آنها توسط ميكروتيك است . ميكروتيك به ترتيب شماره رديف رول آنرا اجرا مي كند . يعني پكت ابتدا با رول شماره صفر مقايسه ميشود اگر با آن مچ شد ، قانون در موردش اجرا ميشود و ديگر رول هاي بعدي بررسي نميشود . و در صورتي كه پكتي با هيچ كدام از قوانين مچ نشود به صورت پيش فرض مجاز شناخته شده و عبور داده ميشود . اين يكي از مهمترين تفاوت هاي فايروال ميكروتيك با فايروال سيسكو ست . در سيسكو اگر پكتي با هيچ كدام از رول هاي موجود مچ نشود عبور داده نخواهد شد . براي تصحيح ترتيب رول ها ، فقط كافي است آنرا درگ اند دراپ كنيد به رديف مورد نظرتان .
    براي اينكه مطمئن شويد رولي اجرا ميشود و يا اصلا درخواست به آن رول ميرسد يا خير فقط كافي است به دو گزينه bytes و packets دقت كنيد . ايندو به شما خواهند گفت تا كنون چند پكت به اين رول رسيده و قانون رول رويش اجرا شده است . براي صفر كردن اين دو قسمت كافي است از دكمه هاي reset counters و reset all counters استفاده كنيد .




    موضوعات مشابه:
    SADEGH65، alitaba، Reza.D و 24 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor





  2. #2
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6
    In interface / out interface

    اين مورد رو يكي از دوستان پرسيده بودند همين جا بهش اشاره مي كنم .

    يكي از گزينه هايي كه در هنگام تعريف فيلتر رول جديد باهاش سرو كار داريد مربوط به اينترفيس ورودي و خروجي است .

    شما ميتونيد با كمك اين دو قسمت بررسي پكت ها رو به پورت خاصي محدود كنيد . بر مي گرديم به همون مثال قبل . من ميخوام كاربران خارجي من نتونند به روتر من پينگ داشته باشند . ما در مثال قبل با كمك آدرس مبدا / مقصد اين مورد رو انجام داديم . يك روش ديگه انجام اين مورد با كمك اينترفيس هاي ورودي و خروجي است . فرض مي كنيم اينترفيس eth 1 ما متصل به لينك wan باشد . يعني دسترسي كاربران خارجي به روتر بورد تنها از اين طريق ممكن است . پس شما مي توانيد رول مربوطه را محدود كنيد به اينترفيس شماره 1 . با اين روش ديگر نيازي به استفاده از آدرس مبدا / مقصد نيست . –بعنوان تمرين مثال رو با اين دو قسمت بازنويسي كنيد –
    اگر از اين دو قسمت استفاده كنيد ، مي بينيد كه صرفا به پورت هاي فيزيكي اشاره نمي كند . و تمام پورت هاي مجازي مثل تانل ها و ... را نيز شامل مي شود . يعني حتي با كمك اين قسمت شما ميتوانيد رولي را صرفا براي يك كاربر pppoe يا ... بنويسيد .



    انواع كانكشن ها در ميكروتيك

    هر ارتباط بين دو سيستم در شبكه توسط يك كانكشن يونيك بين سرور و كلاينت انجام مي پذيرد . بعبارتي كانكشن ها راهي براي تشخيص يوزر ها و برنامه هاي متفاوتي هستند كه از منابع شبكه اي شما استفاده مي كنند . براي ديدن كانكشن هاي موجود در ويندوز ميتوانيد از فرمان netstat استفاده كنيد . اين فرمان تمام ارتباطات شبكه اي كه در سيستم شما توسط برنامه هاي مختلف ايجاد شده را برايتان نمايش مي دهد . – خودتان بعنوان تمرين تست كنيد - در ميكروتيك نيز اين امكان توسط منوي connections از پنجره firewall فراهم ميشود . تمام ارتباطات كاربران شما با ذكر منبع – مقصد – نوع پروتكل و ... در اين قسمت براي شما نمايش داده ميشود . تشخيص دليل وجود هر كدام از اين كانكشن ها براي شما بعنوان مدير شبكه مهم است ! و ناگفته پيداست كه كار چندان ساده اي هم نيست ! – براي جستجو : چرا كانكشن هاي tcp به طور قابل ملاحضه اي از كانكشن هاي udp بيشتر هستند ؟ من در سيستمم چندين كانكشن gre دارم مربوط به چيست ؟ - اما بيشتر هدف از اين بخش صحبت در مورد connection state هست . يا حالت هاي مختلف يك كانكشن . در فايروال ميكروتيك چهار حالت براي يك كانكشن در نظر گرفته شده است . established - invalid - new - related

    New : همانطور كه از نامش پيداست ، به كانكشن هاي در حال ايجاد گفته ميشود . يعني يوزر از روتر بورد يا سرويس دهنده درخواست سرويس مي كند .
    established : به كانكشني گفته ميشود كه به درخواستش پاسخ مثبت دادند – مباركه ! – و در حالت رد و بدل كردن اطلاعات هستند .
    related : يا كانكشن مرتيط . بعضي از پروتكل ها ابتدا روي يك پورت درخواست خود را ارسال و در نهايت روي پورت ديگري اطلاعات را دريافت مي كنند ! معمولا اينگونه موارد مربوط به سرويس هايي است كه نيازمند تاييد هويت و .. هستند . مثلا سرويس دهنده ايميل شما ابتدا شما را روي https شناسايي مي كند و در نهايت با http اطلاعات را در اختيارتان قرار مي دهد . به كانكشن دوم يك كانكشن مرتبط اطلاق ميشود . – چند مثال از اين نوع كانكشن پيدا كنيد –
    Invalid : كانكشن هاي نامعتبر . – چه حالتي باعث ميشود ميكروتيك يك كانكشن را نا معتبر تشخيص دهد ؟ -


    شما مي توانيد با چين هاي تعريف شده توسط كاربر مقدار زيادي از بار روتر رو كم كنيد .

    * همانطور كه ديديد در اين پست چندين بار با سوالاتي تحت عنوان جستجو كنيد موجود است . لطفا نظرات و نتايج بدست آمده رو در تاپيك سوالات به اشتراك بگذاريد .
    * اگر فكر مي كنيد بخشي به توضيح بيشتر نياز داره يا گزينه اي رو متوجه نميشيد لطفا در تاپيك سوالات مطرح كنيد تا در اسرع وقت اضافه كنم .


    ویرایش توسط mehrzadmo : 2012-02-20 در ساعت 01:57 PM
    SADEGH65، mahdila، Reza.D و 18 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor

  3. #3
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6
    از تاخير چند روزه ام معذرت ميخوام .
    دوستاني كه احيانا علاقمند هستند يا دوستان حرفه اي تر - كه خوشبختانه كم هم نيستند - لطفا مواردي رو كه به صورت سوال توي تاپيك جانبي اين تاپيك مطرح شده رو جواب بدن . دوست ندارم صرفا نويسنده اين چند خط باشم . ويكي ميكروتيك اين موارد رو بهتر و كامل تر از من و حتي صحيح تر از من نوشته . هدف ايجاد درگيري با اين امكان جالب و ساده است . كه در عين سادگي با بسياري از فايروال هاي مطرح و گرانقيمت برابري ميكند .

    اعمال قوانين و دستورات -اكشن ها - روي پكت هاي انتخاب شده .

    ما تا اينجا با دو مورد از اكشنها آشنا شديم . accept - drop . كه اكسپت به معناي پذيرش بسته و اجازه عبور دادن به آن و دراپ به معناي رد كردن و حذف پكت .
    تعداد اكشن ها در قسمت فيلتر 9 مورد است كه با الباقي موارد در ادامه آشنا خواهيم شد :
    reject
    اين اكشن مانند دراپ بسته رو حذف مي كنه اما يه تفاوت با اكشن دراپ داره و اون اين كه ريجكت در پاسخ فرستنده يك پكت icmp مبني بر حذف پكت ارسال مي كنه .

    add-dst-to-address-list
    add-src-to-address-list
    قبل از اينكه به رفتار اين دو بپردازيم بهتر است با آدرس ليست ها آشنا شويم . آدرس ليست ها زماني به كار مي آيند كه شما بخواهيد براي تعداد زيادي اي پي كه از يك رنج يا محدوده نيستند تصميم بگيريد . مثلا من ميخوام سه اي پي جدا رو از دسترسي به وب محروم كنم . بدون استفاده از آدرس ليست ها من بايد سه تا رول متفاوت بنويسم . -فكر كنيد اگر تعداد اين اي پي ها 100 مورد بود چه ميشد - براي راحتي اينگونه موارد از آدرس ليست ها استفاده ميشود به اين معني كه آدرس هاي مورد نظر تان را در يك ليست قرار داده و به ازاي آن ليست يك رول مي نويسيد .
    مثال : به شما گفته شده براي اي پي هاي 1 ، 5 ، 9 ، 12 از رنج 192.168.5 دسترسي به پورت 80 بسته بشه .
    ابتدا از پنجره فايروال وارد تب آدرس ليست مي شويم . و دكمه + را كليك مي كنيم . همانطور كه مي بينيد اين پنجره قسمتي براي وارد كردن نام آدرس ليست و قسمتي براي درج يك اي پي دارد . شما براي هر اي پي بايد يك بار اين عمل رو انجام بدين .
    فایل پیوست 1098

    در صورتي كه خواسته باشيد بعضي از اي پي هاي ورودي تون رو لاگ كنيد ، مثلا كساني كه سعي مي كنند از طريق وين باكس به روتر شما وصل شوند يا فعاليت يك كاربر خاص رو زير نظر بگيريد ، مي تونيد با كمك دو اكشن بالا يك ليست آدرس پويا از اونها تهيه ببينيد .
    اكشن اول اي پي مقصد رو براتون ذخيره مي كنه و بعدي اي پي مبدا رو . اگر از اين اكشن استفاده كنيد مي بينيد كه علاوه بر اسم آدرس ليست مي تونيد زماني كه ميكروتيك اي پي مورد نظر رو داخل ليست آدرس مورد نظر تون ذخيره مي كنه رو نيز مشخص كنيد .

    log

    تقريبا شبيه مورد بالاست . اما با چند تفاوت مهم . اكشن لاگ ، براي شما يك سري اطلاعات رو داخل منوي system , log ذخيره مي كنه . كه شامل اين اطلاعات ميشه :
    in-interface, out-interface, src-mac, protocol, src-iport->dst-iport and length of the packet.
    اولين تفاوت همين اطلاعات بالاست كه با اطلاعات ذخيره شده قبل متفاوته و دوم اين كه شما از ليست آدرس ها در رول هاي بعدي مي تونيد استفاده كنيد اما لاگ صرفا جهت اطلاع است .

    jump
    return

    از اين دو اكشن جهت تعريف چين توسط كاربر استفاده ميشه . كه بعدا به تفضيل در موردشون صحبت مي كنم .

    tarpit

    اين اكشن پكت هاي tcp رو نگه مي داره و بهشون جواب مناسبي مي ده . از اين براي جلوگيري جملات dos استفاده ميشه و حتي ميشه باهاش يه هاني پات طراحي كرد .

    passthrough
    اين اكشن كار خاصي انجام نميده صرفا از رول خارج ميشه يا صرف نظر مي كنه . ويكي ميكروتيك اينو براي آمار گيري پيشنهاد داده . دقيقا كاربردي عمليش چي مي تونه باشه رو من نمي دونم . كسي از دوستان در اين مورد چيزي بگه ممنون ميشم .

    دوستان لطفا به تاپيك زير سر بزنيد و پست آخر - سوم - رو به دقت مطالعه كنيد و جواب سوالات رو بنويسيد

    سوالات مربوط به تاپيك آموزش فايروال ميكروتيك


    ویرایش توسط mehrzadmo : 2012-03-09 در ساعت 02:08 PM
    SADEGH65، saeid.r، amin-net و 13 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor

  4. #4
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6
    کد:
    /ip firewall address-list
    #rfc 1918, loopback, and multicastadd address=10.0.0.0/8 comment="" disabled=no list=rfc-1918add address=127.0.0.1 comment="" disabled=no list=rfc-1918add address=192.168.0.0/16 comment="" disabled=no list=rfc-1918add address=172.16.0.0/20 comment="" disabled=no list=rfc-1918add address=10.0.0.0/8 comment="" disabled=no list=rfc-1918add address=172.16.0.0/12 comment="" disabled=no list=rfc-1918add address=192.168.0.0/16 comment="" disabled=no list=rfc-1918add address=224.0.0.0/4 comment="" disabled=no list=rfc-1918add address=240.0.0.0/4 comment="" disabled=no list=rfc-1918 #my public addressingadd address=X.X.X.X comment="" disabled=no list=public-add #any port knock exclusionsadd address=Y.Y.Y.Y comment="" disabled=no list=port-knock-3 #any SMTP exclusionsadd address=Z.Z.Z.Z comment="" disabled=no list=smtp-bypass /ip firewall filter#match more than 5 pings in 5 seconds.  Then drop the traffic inbound and forward.add action=accept chain=input comment="start of greg rules up to 5 pings in 5 seconds" disabled=no limit=5,5 protocol=icmpadd action=add-src-to-address-list address-list=icmp-attack address-list-timeout=12h chain=input comment="add all other icmp input into icmp-attack address list." \    disabled=no protocol=icmpadd action=drop chain=input comment="drop excessive icmp traffic for 12 hours" disabled=no src-address-list=icmp-attack protocol=icmpadd action=drop chain=forward comment="drop excessive icmp traffic for 12 hours" disabled=yes src-address-list=icmp-attack protocol=icmp#drop 1918 inboundadd action=drop chain=forward comment="block rfc 1918 and multicast inbound" disabled=no in-interface=ether1 src-address-list=rfc-1918add action=drop chain=forward comment="block our addressing inbound - spoofed" disabled=no in-interface=ether1 src-address-list=public-addadd action=drop chain=input comment="block rfc 1918 and multicast inbound" disabled=no in-interface=ether1 src-address-list=rfc-1918add action=drop chain=input comment="block our addressing inbound - spoofed" disabled=no in-interface=ether1 src-address-list=public-add#start port knockingadd action=add-src-to-address-list address-list=port-knock-1 address-list-timeout=15s chain=input comment="port knock step 1 - udp 444" disabled=no \    dst-port=444 protocol=udpadd action=add-src-to-address-list address-list=port-knock-2 address-list-timeout=15s chain=input comment="port knock step 2 - udp 117" disabled=no \    dst-port=117 protocol=udp src-address-list=port-knock-1add action=add-src-to-address-list address-list=port-knock-3 address-list-timeout=5h chain=input comment="port knock step 3 - tcp 600 - final" disabled=no \    dst-port=600 protocol=tcp src-address-list=port-knock-2add action=accept chain=input comment="allow winbox in via port knock" disabled=no dst-port=8291 protocol=tcp src-address-list=port-knock-3add action=drop chain=input comment="allow winbox in via port knock" disabled=no dst-port=8291 protocol=tcp#port scans and DOSadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="add port scannes to port-scan list" disabled=no \    in-interface=ether1 protocol=tcp psd=21,3s,3,1 src-address-list=!internal-netsadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" disabled=no protocol=tcp \    tcp-flags=fin,!syn,!rst,!psh,!ack,!urgadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no protocol=tcp tcp-flags=\    fin,synadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no protocol=tcp tcp-flags=\    syn,rstadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=no protocol=tcp tcp-flags=\    fin,psh,urg,!syn,!rst,!ackadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no protocol=tcp tcp-flags=\    fin,syn,rst,psh,ack,urgadd action=add-src-to-address-list address-list=port-scan address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no protocol=tcp tcp-flags=\    !fin,!syn,!rst,!psh,!ack,!urgadd action=tarpit chain=input comment="tarpit port-scan address list to router" disabled=no protocol=tcp src-address-list=port-scanadd action=drop chain=input comment="drop port-scan address list to our router" disabled=no src-address-list=port-scanadd action=drop chain=forward comment="drop port-scan address list to our infrastructure" disabled=no src-address-list=port-scanadd action=drop chain=forward comment="drop windows ports" disabled=no port=135-139 protocol=tcpadd action=accept chain=forward comment="allow smtp-bypass list to create multiple sessions" disabled=no dst-port=25 protocol=tcp src-address-list=smtp-bypassadd action=drop chain=forward comment="drop smtp traffic marked as spam" disabled=no dst-port=25 protocol=tcp src-address-list=spam-blockadd action=add-src-to-address-list address-list=spam-block address-list-timeout=2h chain=forward comment=\    "more than 5 smtp connections out as spam.  add to address list" connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp \    src-address-list=rfc-1918add action=accept chain=input comment="allow 80 and 8080 from portknock" disabled=no dst-port=80,8080 protocol=tcp src-address-list=port-knock-3 add action=drop chain=input comment="block 80 and 8080 from everyone else" disabled=no dst-port=80,8080 protocol=tcp
    اينو از اينجا آوردم .
    Mikrotik Border Router Firewall Script | Greg Sowell Consulting
    اگر جايي اش نا مفهوم بود بگيد تا توضيح بدم ...


    SADEGH65، Reza.D، th95 و 8 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor

  5. #5
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6
    جلوگيري از حملات DDoS
    چندي قبل گرفتار يه حمله عجيب و غريب شده بودم كه ظاهري شبيه DDoS داشت - البته نفهميدم دقيقا كدوم روشش - خلاصه به هر سختي بود جلوشو گرفتم . و دنيا نجات پيدا كرد . بعد از اون سعي كردم در مورد اين نوع حمله يه مقدار مطالعه كنم . - مشكل عمده ما ايرانيها ! اول مي زاريم مشكل پيش بياد بعد ماست مالي اش مي كنيم بعد اگر حوصله مون شد مي ريم دنبال دليل و راه حل !!!- به نتايج جالبي رسيدم و اتفاقي به پست جالبي برخوردم از آقاي يوسفي عزيز ، كه جلوگيري از حملات دي داس براي اي پي تيبلز لينوكس بود . از اونجا كه فايروال ميكروتيك بر پايه همين اي پي تيبلز هست سعي كردم اينو ترجمه كنم به دستورات ميكروتيك . اما خوب ترجمه صرف ارزش خاصي نداره . و بايد نوع حمله دقيقا كالبد شكافي و در نهايت راه حل نسبي رو ارائه بديم . پس سعي ميكنم اول يه توضيح در مورد هر نوع حمله بدم بعد دستور مورد نظر رو با هم ببينيم . چون يه آشنايي خيلي كمي با اي پي تيبلز دارم ممنون ميشم دوستان با دقت دستورات رو بخونند و اگر وقتشو داشتن مقايسه كنند ، كه اگر جايي رو اشتباه رفتم تذكر بدند . - خصوصا آقاي يوسفي عزيز .

    کد:
    #!/bin/bash #### ## Load Madule modprobe ipt_recent ## Rule echo "Block TCP-CONNECT scan attempts (SYN bit packets)" iptables -A INPUT -p tcp --syn -j DROP echo "Block TCP-SYN scan attempts (only SYN bit packets)" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP echo "Block TCP-FIN scan attempts (only FIN bit packets)" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP echo "Block TCP-ACK scan attempts (only ACK bit packets)" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP echo "Block TCP-NULL scan attempts (packets without flag)" iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP echo "Block DOS - Ping of Death" iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT echo "Block DOS - Teardrop" iptables -A INPUT -p UDP -f -j DROP echo "Block DDOS - SYN-flood" iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP echo "Block DDOS - Smurf" iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT echo "Block DDOS - UDP-flood" iptables -A INPUT -p UDP --dport 7 -j DROP iptables -A INPUT -p UDP --dport 19 -j DROP echo "Block DDOS - SMBnuke" iptables -A INPUT -p UDP --dport 135:139 -j DROP iptables -A INPUT -p TCP --dport 135:139 -j DROP echo "Block DDOS - Connection-flood" iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP echo "Block DDOS - Fraggle" iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT echo "Block DDOS" iptables -A INPUT -p ICMP -f -j DROP
    Firewall Anti DDos - Judynet - Network&Programing

    - - - Updated - - -

    حملات دي داس چيست ؟

    * تذكر ، دوستان عزيز توجه كنند قصد اين قسمت آموزش نحوه حمله نيست ! و توضيح روش ها بسيار مختصر خواهد بود پس لطفا سوالي مبني بر حمله يا ابزار هاي مربوطه مطرح نشه . با تشكر

    حمله محروم‌سازی از سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) نوعی از حمله‌است که هدف آن از کار انداختن سرویس یا سرویس‌های خاصی روی سرور مورد نظر است که معمولاً برای از کار انداختن سرویس http به کار می‌رود که باعث می‌شود سایت‌های روی سرور از دسترس خارج شوند. انجام این حمله (برخلاف بسیاری از انواع دیگر حمله‌ها) تحت هر شرایطی جرم محسوب می‌شود و پیگرد قانونی دارد.

    تاريخچه

    ضعف موجود در پروتکل TCP در سال ۱۹۹۴ شناسایی شد. روش انجام این حمله توسط Bellovin و Cheswick در کتاب Firewall and Internet Security معرفی گردید. شناسایی هیچ راه کار متقابلی تا دو یال پس از آن ارائه نشد. توصیف دقیق حمله SYN flood در مجله‌ای به نام Phrack منتشر شد. گذشته از خطاهای جزئی که در این روش بود، برنامه به سرعت پخش شده و مورد استفاده قرار گرفت. . به طور خاص حمله ای علیه یکی ازشرکت خدمات اینترنتی‌های سرویس دهنده MAIL باعث اطلاع همگان از قطع شدن سرویس دهی شد. SYN flood علاوه بر اینکه بر پایه روش های شناخته شده قوه قهریهبود که به سادگی منابع شبکه را تصرف می کرد، در این حملهend-host مورد هدف قرار می گرفت که برای هدر دادن منابع آن به تعداد بسته کمتری نیاز بود.

    اهداف

    به طور کلی انجام این حمله برای اهداف زیر صورت می‌گیرد:

    1. پایین آوردن سرعت و کیفیت سرویس‌دهی شبکه (دسترسی به سایت یا انتقال فایل)
    2. از دسترس خارج کردن وب‌سایت مورد نظر
    3. قطع دسترسی تمام وب‌سایت‌ها (با حمله به name serverها)
    4. افزایش تعداد هرزنامه‌ها (که به بمب ایمیلی نیز معروف است)

    لازم به ذکر است که این حمله فقط مختص به سرورها نیست و ممکن است یک شبکه و یا حتی روتر نیز مورد حمله قرار گیرد و ممکن است کار بخش عمده‌ای از اینترنت را مختل کند (همانطور که در طول تاریخ ۲بار اینترنت کل دنیا با این حمله مختل شده‌است).



    DDoS

    حمله توزیع‌شده محروم‌سازی از سرویس (Distributed Denial of Service) روشی از حمله‌است که در آن حمله‌کننده با تعداد زیادی از کامپیوترها و شبکه‌هایی که در اختیار دارد، حمله را صورت می‌دهد. در این روش تمام رایانه‌ها یکی از روش‌های حمله را که در ذیل ذکر شده‌اند را همزمان با هم انجام می‌دهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.
    در این روش معمولاحمله‌کننده سیستم‌های زیادی را آلوده کرده و به آنها همرمان فرمان می‌دهد، به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet می‌گویند.
    SYN Flood

    در این روش بسیار متداول، حمله‌کننده تعداد زیادی بسته TCP حاوی SYN ارسال می‌کند که به معنای تقاضای شروع ارتباط است، در این صورت گیرنده بسته (هدف حمله کننده) با توجه به درخواست ارتباطی را شروع کرده و در انتظار دریافت ادامه درخواست می‌ماند و چون ادامه درخواست از طریق حمله‌کننده ارسال نمی‌شود، سرور مورد نظر برای مدتی ارتباط را در خود نگه می‌دارد که تعداد زیاد این روند باعث استفاده زیاد از پهنای باند، RAM و CPU سرور مورد نظر شده و توانایی پاسخ به سایر درخواست‌ها را نخواهد داشت.
    Ping Flood

    در این روش تنها با فرستادن بیش از حد بسته‌های ping از طرف تعداد زیادی از سیستم‌ها، صورت می‌گیرد. در شبکه‌هایی که به درستی تنظیم نشده‌اند با جعل‌کردن (spoofing) آدرس سیستم مورد نظر و ارسال درخواست ping به broadcast تمامی سیستم‌های موجود در شبکه به سیستم هدف پاسخ ارسال می‌کنند و ارسال تعداد زیاد این درخواست‌ها باعث شلوغ شدن شبکه و از کار افتادن سیستم مورد نظر می‌شود.
    سایر روش‌ها

    Smurf Attack، Ping of Death، Teardrop، Billion laughs، Christmas tree packet و صدها روش دیگر تنها روش‌های شناخته شده این حمله هستند و بسیاری روش‌های ابداعی و ابتکاری دیگر نیز موجود است.

    اين قسمت از ويكي پدياي فارسي استفاده شده :‌
    http://fa.wikipedia.org/wiki/%D8%AD%...88%DB%8C%D8%B3


    ویرایش توسط mehrzadmo : 2012-10-26 در ساعت 05:33 PM
    SADEGH65، mahdila، Reza.D و 11 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor

  6. #6
    نام حقيقي: مهرزاد مقدس

    عضو ویژه/سرپرست بخش‌های Mikrotik و Wireless
    تاریخ عضویت
    Sep 2006
    محل سکونت
    فارس
    نوشته
    4,254
    سپاسگزاری شده
    4495
    سپاسگزاری کرده
    2258
    نوشته های وبلاگ
    6
    Syn Flood
    روش كار اين حمله بالا ذكر شده پس مجدد مطرحش نمي كنم اگر نكته گنگي داره بفرماييد تا توضيح بيشتري بدم .


    دستور اصلي :
    iptables -A INPUT -p TCP --syn -m iplimit –iplimit -above 9 -j DROP
    دستور ميكروتيك :
    ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=10,32 action=drop/
    شرح دستور : هر اي پي مي تواند حداكثر تا 9 درخواست از نوع tcp syn را به روتر شما ارسال كند .
    توضيحات : اضافه اما از اونجايي كه ممكنه روتر شما صرفا گيت وي باشه و حمله به سمت يكي از ماشين هاي داخل شبكه باشه بهتر براي چين forward هم اين مورد رو تكرار كنيد . نكته دستور توي قسمت كانكشن ليميت هست . كه از تب extra قابل دسترسه . اين عبارت مي گه درخواست دهم از ساب نت 32/ (يعني يه تك اي پي)
    البته خود ميكروتيك توصيه مي كنه در روتر هاي قوي تر براي مقابله با حمله از اكشن tarpit استفاده كنيد.
    DoS attack protection - MikroTik Wiki
    * همونطور كه مي بينيد توي مقاله ميكروتيك از عبارت DoS به جاي DDoS استفاده شده . چرا ؟ فكر مي كنيد اين دستور براي حملات دي داس چقدر كارايي دارند ؟ روش براي بهبود اين مورد سراغ داريد ؟


    ---------------------------------------------------
    Ping of Death


    اين نوع حمله بر اساس بسته هاي جعلي پينگ با سايز غير طبيعي صورت مي گيره . معمولا طول پكت هاي پينگ 32 بيته كه با سربار اي پي به 84 بيت مي رسه . بعضا ماشين ها با دريافت بسته هاي پينگ با طول بالاتر از حداكثر اندازه مجاز در IPv4 دچار مشكل ميشند . براي اطلاعات بيشتر در مورد اين حمله به اينجا مراجعه كنيد :
    Ping of death - Wikipedia, the free encyclopedia
    دستور اصلي :‌
    iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
    دستور ميكروتيك :‌
    add chain=input protocol=icmp icmp-options=0:0-255 packet-size=60-65535 action=accept
    شرح دستور :
    فكر نمي كنم مورد مهمي براي توضيح باشه . فقط اون icmp option رو خود روتر او اس ساخت ! من گذاشتمش روي Echo request ميكروتيك تبديلش كرد به اين مورد !!!
    ---------------------------------------------------
    echo "Block TCP-CONNECT scan attempts (SYN bit packets)
    iptables -A INPUT -p tcp --syn -j DROP
    اين قسمت از دستور به نظر من غلطه . ممنون ميشم كسي از دوستان در اين مورد يه مقدار راهنمايي بكنه . چرا كه عملا با اين كار هيچ نوع نشست tcp روي ماشين آغاز نميشه !!! چون تمام درخواست هاي شروع نشست دارن دراپ ميشند . بعد با قرار گرفتن اين خط در ابتداي رول ها خيلي از موارد مثل همين ساين فلود كاملا از بين مي ره . از دوستان آگاه به فلسفه اين خط عاجزانه استمداد مي طلبم .

    - - - Updated - - -

    ظاهرا برداشت من از دستور درسته . و نبايد ايشون اون بالا باشند .

    1: iptables -A INPUT -p tcp -syn -j DROP

    This is a desktop-centric rule that will do two things: First it will allow you to actually work normally on your desktop. All network traffic going out of your machine will be allowed out, but all TCP/IP traffic coming into your machine will simply be dropped. This makes for a solid Linux desktop that does not need any incoming traffic. What if you want to allow specific networking traffic in — for example, ssh for remote management? To do this, you’ll need to add an iptables rule for the service and make sure that service rule is run before rule to drop all incoming traffic.
    http://www.techrepublic.com/blog/10t...-linux-box/539


    SADEGH65، Reza.D، ebiaratex و 13 نفر دیگر سپاسگزاری کرده‌اند.
    MikroTik Certified Trainer & Consultant
    Mikrotik Official Distributor





  7. #7
    نام حقيقي: Omid Naghdi

    عضو عادی شناسه تصویری G4chB0y
    تاریخ عضویت
    Jan 2010
    محل سکونت
    Shiraz
    نوشته
    164
    سپاسگزاری شده
    104
    سپاسگزاری کرده
    64

    جلوگیری از حملات بروت فرس برای کرک یوزر نیم لوگین به میکروتیک با پورت های 22و21

    سلام
    و با اجازه اساتید :: فکر میکنم بخش کرکینگ همیشه جذابیت داشته
    و برای اینکه جلوی این نوع حملات رو هم بگیریم من این راهنمای ویکی از میکروتیک رو زمیمه میکنم امیدوارم مورد استفاده قرار بگیره
    با اینکه حدوداً 3 ماه از این تاپیک میگذه ولی حیفم اومد بخش فایروال رو تکون ندم
    Bruteforce login prevention



    mehrzadmo، saeid.r، hanzaleh و 12 نفر دیگر سپاسگزاری کرده‌اند.
    سنگين سنگين بردوش می کشيم بارديگران را
    به جای همراهی کردنشان
    درراه خويش ايثاربايدنه انجام وظيفه

کلمات کلیدی در جستجوها:

آموزش فایروال میکروتیک

فایروال در میکروتیک

تنظیمات فایروال میکروتیک

فایروال میکروتیک

آموزش فایروال

آموزش فایروال در میکروتیکجلوگیری از حملات ddos در میکروتیکآموزش تنظیمات فایروال میکروتیکمیکروتیک وین باکسمیکروتیک چیستمیکروتیک فایروالآموزش فايروال ميكروتيكنوشتن رول در میکروتیکميكروتيك چيستتنظیمات فایروال در میکروتیکاموزش فایروالمیکروتیک چیست؟آموزش میکروتیک pppoe قدم دومکاربرد میکروتیکمنگل در میکروتیکفايروال در ميكروتيكميكروتيكنوشتن فایروالآموزش كاربردي فايروال ميكروتيك فایروال mikrotik

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •