محدود کردن اینترنت شبکه داخلی توسط RouterBoard MikroTik 751U

[rezahafez]

سلام دوستان
من به تازگی یک RouterBoard MikroTik 751U خریدم و قصد دارم به وسیله‌ی اون کارهایی رو به شرح زیر روی شبکه‌ی داخلیم انجام بدم.

من چندتا کامپیوتر دارم که که به صورت وایرلس شبکه شدن و به صورت داینامیک IP می‌گیرن و به اینترنت بدون هیچ محدودیتی دسترسی دارند.
حالا من می‌خوام به جز سیستم شماره 1 (که سیستم شخصی خودم هست) و گوشی موبایل و نوت‌بوکم، برای سایر دستگاها‌یی که به این شبکه وایرلس متصل می‌شوند محدودیت‌های برای استفاده از اینترنت اعمال کنم. به صورتی که تمام اینترنت مسدود بشه و تنها چند وبسایت و سرویس ایمیل یاهو و جی‌میل در دسترس باشند.

لطفا در این زمینه من‌رو راهنمایی کنید :-)

---

موضوعات مشابه:

• مشکل MikroTik RouterBoard , 750 g پس از آپگرید به all_packages-mipsbe-6.0rc9
• چطور میشه routerboard mikrotik 450g پسوردشو ریست کنی
• Mikrotik RouterBoard يا ISA Server
• mikrotik routerboard

---

[alisc]

با سلام
ابتدا ورودتون رو به انجمن خوش آمد میگم

دوست عزیز راه های زیادی برای انجام این کار هست ،

میتونید توسط QUEUE میکروتیک محدودیت سرعت و ترافیک قرار بدید برای IP ها
میتونید PPP راه اندازی کنید و توسط اکانتینگ مدیریت داشته باشید روش ( سرعت - ترافیک - زمان )
میتونید هات اسپات هم راه اندازی کنید برای دسترسی راحت تر

برای بستن تمام سایت ها و باز گذاشتن چند سایت خاص هم ، میتونید از وب پـــراکـــســـی استفاده کنید یا توسط خوده Firewall این کار رو انجام بدید

تمام آموزش های فوق هم در انجمن موجود هست

[rezahafez]

علی آقا راستش من توی شبکه مبتدی هستم و داخل انجمن هم خیلی گشتم و به نتیجه‌ی خاصی نرسیدم :-(
اگر ممکنه در مورد فایروال و وب‌پروکسی بیشتر توضیح بدید...

[paravand20]

علی آقا راستش من توی شبکه مبتدی هستم و داخل انجمن هم خیلی گشتم و به نتیجه‌ی خاصی نرسیدم :-(
اگر ممکنه در مورد فایروال و وب‌پروکسی بیشتر توضیح بدید...

با استفاده از سرویس پراکسی میکروتیک شما می تونید درخواست های پورت وب پورت 80 و ftp را مدیریت کنیید یعنی دسترسی به سایت خاصی را ببندید یا اینکه با سایت خاصی ریدایرکت کنید به سایت مورد نظر خودتون و اندکی اماکانات دیگر ......

قبل از ران کردن حتما سری به ویکی میروتیک بزنید و مطالعه کنید

موفق باشید

[alisc]

علی آقا راستش من توی شبکه مبتدی هستم و داخل انجمن هم خیلی گشتم و به نتیجه‌ی خاصی نرسیدم :-(
اگر ممکنه در مورد فایروال و وب‌پروکسی بیشتر توضیح بدید...

تا کجا جلو رفتید ؟
1. IP دادید به اینترفیس های میکروتیک ؟
2. اینترنت درون میکروتیک هست ؟
3. اینترنت رو NAT کردید ؟
4. مودم شما به چه صورتی کانفیگ شده ؟ ( PPPOE یا Bridge )

[greatcyrus]

آقا یه جوانمرد نیست یه سناریو پیاده سازی کنه با این میکروتیک و به سوالات متداول ملت تو اون سناریو جواب بده در عمل ؟

کشت مارو این میکروتیک ...

من یه جایی ازش استفاده کردم ولی فقط داره روت میکنه نمبدونم برا اکانتینگش چیکار کنم !!!

[alisc]

آقا یه جوانمرد نیست یه سناریو پیاده سازی کنه با این میکروتیک و به سوالات متداول ملت تو اون سناریو جواب بده در عمل ؟

آقای مقدس تاپیک باز کردن ، منتها هیچ کس وقت نکرد ادامه بده تاپیک رو :

سناریو شماره یک

من یه جایی ازش استفاده کردم ولی فقط داره روت میکنه نمبدونم برا اکانتینگش چیکار کنم !!!

آموزش اتصال به اکانتینگ در سطح وب فراوون هست ! ( SIB - NtTak Plus - IBsng )
میتونید از خوده User Manager هم استفاده کنید !

[rezahafez]

سلام
1- خیر،

به اینترفیس‌ها IP ندادم، چرا و چطوری میتونم این کار رو انجام بدم؟

2- اینترنت درون میکروتیک هستش...
3- خیر، نمیدونم چطوری می‌شه اینترنت رو NAT کنم :-(
4- مودم به صورت PPPOE کنفینگ شده...

[alisc]

1- خیر،

به اینترفیس‌ها IP ندادم، چرا و چطوری میتونم این کار رو انجام بدم؟

2- اینترنت درون میکروتیک هستش...

اگر به اینترفیس های IP ندادید اینترنت چطور درون میکروتیک هست ؟!؟

به اینترفیس‌ها IP ندادم، چرا و چطوری میتونم این کار رو انجام بدم؟

به ether1 به صورت زیر IP بدید :

• اختصاص آدرس IP از طریق Winbox

حال که اینترفیس مورد نظر مشخص شد آدرس IP را تنظیم کنید.

قدم اول

قدم دوم

منبع: تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client )

البته IP رو بدید 192.168.2.1/24




سپس روی ether2 سرویس DHCP Client راه اندازی کنید ( از مودم ADSL آی پی + دی ان اس+ گتوی بگیره )

تنظیم DHCP Client

گاهی نیاز است که کلیه تنظیمات از قبیل آدرس IP , DNS , Gateway , زمان و ... از طریق سرور DHCP بر روی میکروتیک تنظیم شود.در اینصورت دیگر نیازی به طی مراحل بالا نیست!.

شما باید اینترفیسی که DHCP Client بر روی آن تنظیم خواهد شد، را مشخص کنید.

• تنظیم DHCP Client از طریق وینباکس

قدم اول

قدم دوم

Use Peer DNSاز سرور های DNS ای که سرور DHCP معرفی می کند استفاده خواهد کرد.

Use Peer NTP از تنظیمات زمان و تاریخ معرفی شده بر روی سرور DHCP بهره می برد.

Add Default Route امکان ساخت مسیر پیش فرض ( Default Gateway ) در صورت خواست سرور DHCP را می دهد.

مشاهده تنظیمات

منبع : تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client )

خوب حالا باید کانکشن PPPOE رو روی میکروتیک ست کنید تا اینترنت بیاد داخل میکروتیک ( روی ether2 راه اندازی کنید )
بدین صورت کانکشن رو بسازید :

تنظیم PPPoE Client در میکروتیک

اکثر اوقات برای اتصال به اینترنت نیاز است که از یک ارتباط PPPoE استفاده کنید،برای این منظور یک کانکشن PPPoE بر روی میکروتیک ایجاد کنید.

پیش فرض ها :

نام کاربری : behroozi

پسورد : reza

اینترفیس متصل به مودم یا رادیو : ether1

• تنظیم PPPoE کلاینت از طریق وینباکس

قدم اول

قدم دوم

قدم سوم

Use Peer DNS از سرور های DNS ای که سرور PPPoE معرفی می کند استفاده خواهد کرد.

Add Default Route مسیر پیش فرض ( Default Gateway ) را اینترفیس PPPoE Client قرار می دهد.

Dial On Demand فقط زمانی که نیاز باشد اقدام به برقراری ارتباط و ایجاد کانکشن PPPoE می کند.

منبع : تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client )

خوب !
تا اینجا اینترنت درون میکروتیک هست ، حالا باید اینترنت رو NAT کنید تا اون ether1 یعنی رنج 192.168.2.1/24 هم اینترنت بگیره ، برای اینکار :

IP-->Firewall-->NAT
برای افزودن رول روی + کلیک کنید
در تب اول یعنی General
chain=src-nat
تب Action
action=masquerade

مشکلی بود بفرمائید

- - - ادامه - - -

فراموش کردم بگم ، مودم رو ریست کنید و بصورت Bridge کانفیگ کنید ( کانکشن روی میکروتیک باشه بهتره )

[greatcyrus]

علی آقا دست گلت درد نکنه حالا یه همچی چیزی هم برا اکانتینگ ارائه کنی دیگه برادری رو تموم کردی در حق ما ...

البته با AD بایند باشه
و محدودیت ترافیک رو یوزرها

[mohammade]

سلام.وقتی که شما اینترنت رو به همه کاربرا nat کردین شما بیاین دوتا گروه توی firewall-address List ایجاد کنید. مثلا یک گروه به اسم person که میاید آی پی فردی که می خواید رو وارد میکنین به همین روال برای تک تک افراد این کار رو میکنید.یگ گروه دیگه هم درست می کنی مثلا به اسم open site و بعد میای آی پی اون سایت هایی که میخواین باز باشه رو دونه دونه اضافه میکنید.بعد میای توی firewall-filte roules یک رول می نویسید بدین صورت
chain -forward src address 192.168.1.0/24 porotocol tcp بعد می اید تو تب advance src addess list رو میزاری مخالف person و dst address list رو می زاری مخالف open shit و در تب action می آی drop میکنی.
معنی این رول اینه که هرکسی توی این رنج آی پی 192.168.1.0/24 هستش و می خواد از پروتوکول tcp استفاده کنه رو drop کن به غیر از person و open site
البته فقط می تونی پورت های 80 که مربوط به http هست و پورت 443 که مربوط به https هست رو ببندی.یعنی همون رولی که بالا گفتم رو یک بار برای پورت 80 و یک رول دیگر برای پورت 443 بنویسی.
این روال فکر میکنم ساده تر از روش های دیگه باشه

[rezahafez]

سلام
علی آقا و آقا محمد بی‌نهایت از شما سپاسگذارم...
طبق توضیحات شما من عمل کردم و الان اینترنت داخل میکروتیک هست. من دو گروه تعریف کردم، داخل یکی IP کاربران رو وارد کردم و داخل یکی دیگه آپی سایت‌هایی که میخوام در دسترس باشند.
حالا من با دو مشکل روبرو هستم.
1- اولا من نمیخوام به کاربران به صورت دستی IP بدم، میخوام فقط دو سه تا دستگاه بدون محدودیت به اینترنت دسترسی داشته باشند و برای مابقی دستگاهای موجود و یا دستگاهایی که به صورت موقت وارد شبکه می‌شوند (مثل تلفن همراه) فقط چند سایت که مشخص میکنم باز بشه.
2- مشکل بعدی وبسایت‌هایی هستند مانند سرویس ایمیل یاهو و جیمیل که از IPهای متعددی استفاده می‌کنند، اولا چطور میتونم همه‌ی IPهای مربوط به اونهارو پیدا کنم و آیا راهی هست که از طریق نام دامنه به آن‌ها دسترسی بدم؟

[paravand20]

علی آقا دست گلت درد نکنه حالا یه همچی چیزی هم برا اکانتینگ ارائه کنی دیگه برادری رو تموم کردی در حق ما ...

البته با AD بایند باشه
و محدودیت ترافیک رو یوزرها

ندیدم چیزی با اکتیو مچ بشه مگه چندتا یوزر داری شما !!

- - - ادامه - - -

سلام.وقتی که شما اینترنت رو به همه کاربرا nat کردین شما بیاین دوتا گروه توی firewall-address List ایجاد کنید. مثلا یک گروه به اسم person که میاید آی پی فردی که می خواید رو وارد میکنین به همین روال برای تک تک افراد این کار رو میکنید.یگ گروه دیگه هم درست می کنی مثلا به اسم open site و بعد میای آی پی اون سایت هایی که میخواین باز باشه رو دونه دونه اضافه میکنید.بعد میای توی firewall-filte roules یک رول می نویسید بدین صورت
chain -forward src address 192.168.1.0/24 porotocol tcp بعد می اید تو تب advance src addess list رو میزاری مخالف person و dst address list رو می زاری مخالف open shit و در تب action می آی drop میکنی.
معنی این رول اینه که هرکسی توی این رنج آی پی 192.168.1.0/24 هستش و می خواد از پروتوکول tcp استفاده کنه رو drop کن به غیر از person و open site
البته فقط می تونی پورت های 80 که مربوط به http هست و پورت 443 که مربوط به https هست رو ببندی.یعنی همون رولی که بالا گفتم رو یک بار برای پورت 80 و یک رول دیگر برای پورت 443 بنویسی.
این روال فکر میکنم ساده تر از روش های دیگه باشه

حتی پراکسی میکروتیک !!!

[greatcyrus]

پس چه جوری اینترنت کاربرای دومین کنترل میتونه بشه؟
اصلا میشه ؟ یا باید لوکال یوزر توش تعریف شه جدای از یوزر دومین طرف؟

[paravand20]

پس چه جوری اینترنت کاربرای دومین کنترل میتونه بشه؟
اصلا میشه ؟ یا باید لوکال یوزر توش تعریف شه جدای از یوزر دومین طرف؟

برادر برای مدیریت دقیق اینترنت کاربران باید هات اسپات یا یکی از سرویس های ppp ران بفرمایید