پاسخ سوال اول
بله قطعا امنیت رو بالا میبره، دردسر های کانفیگ های امنیتی در روتر را بشدت کاهش میده، من خودم اکثرا همین روش را بکار میبندم و فقط پورت های مورد نیاز خودم رو از اینترنت به داخل شبکه پورت فوروارد و یا همون Dst-Nat میکنم
اما شما باید به یک نکته خیلی مهم توجه کنید، اگه هیچگونه آی پی پابلیک و عمومی رو هیچ تجهیزات خودتون نداشته باشید، مسیریابی از اینترنت به دستگاه های شما انجام نمیشه و ارائه دادن سرویس رو براتون غیر ممکن میکنه، درست مثل زمانی که ای اس پی های ارزان قیمت بجای دادن آی پی پابلیک، مشترکین خودشون رو به سمت اینترنت NAT میکنن.
بنابراین به عنوان مثال در شبکه من که میکروتیک و دیگر تجهیزات من توسط NAT اینترنت دار شدن، بازهم یک آی پی پابلیک وجود داره که روی اینترفیس مودم من تنظیم شده و درخواست های خارجی به سمت مودم میرن، حالا در مودم تصمیم گیری اولیه در مورد پورت فورارد شدن داده اولیه به سمت شبکه داخلی، در لبه شبکه انجام میشه.
----
پاسخ پرسش دوم
خب حالا شما بجای مودم، یک رادیو دارید، بنابراین در قدم اول، حتما آی پی های استاتیک دریافتی خودتون رو باید از بخش IP/Address به اینترفیس وایرلس رادیو خودتون اختصاص بدین تا کاربران روی اینترنت بتونن با شبکه شما و سرویس هاس شما ارتباط پیدا کنن و مسیریابی اولیه انجام بشه.
اما در مرحله دوم، برای حفظ امنیت شبکه خودتون و قرار دادن اون پشت یک NAT ، حتما باید بریج موجود در رادیو خودتون رو که اینترفیس Wlan1 و eth1 رو باهم در سطح لایه دو متصل کرده، حذف کنید.
در این حالت درسته که اینترفیس وایرلس شما از اینترنت در دسترس همه قرار داره، اما از این اینترفیس به اینترفیس Eth1 شما که حکم Gateway روتر میکروتیک رو داره هیچ ارتباط مستقیمی وجود نخواهد داشت. (مشابه زمانی که کانکشن PPPoE در مودم های ADSL روی خود اونها قرار میگیره و ارتباط داخل شبکه NAT میشه)
همینطور شما میتونید در رادیو خودتون روی پورت Eth0 ، سرور DHCP راه اندازی کنید و همینطور یک NAT به جهت برقرار اینترنت روتر میکروتیک با اینترنت در رادیو تعریف کنید.
در این حالت دیگه هیچ دسترسی مستقیم به هیچ پورتی از سرویس های شبکه داخلی شما، از روی شبکه اینترنت در دسترس نیست و میتونید در بخش فایروال فیلتر رادیو نیز، قوانین سخت گیرانه ای در خصوص عدم پینگ شدن ای پی های پابلیک شما از روی اینترنت، کنترل و حساسیت زیاد روی داده های ورودی به اینترفیس وایرلس رادیو، اعمال کنید.
از طرف دیگه بیایید و در رادیو Dst-Nat بسازید و پورت یا پورت های مورد نظر تانل خودتون رو به سمت شبکه داخلی پورت فوروارد کنید.
به عنوان مثال برای تونل PPTP یک dst-Nat مانند زیر نیاز است:
کد:
/ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=tcp dst-port=1723 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
(که مثلا آی پی eth1 رادیو برابر با 192.168.1.1 و eth1 روتر 192.168.1.2 هست)
و برای L2TP+ipsec پورت فورواردی مانند وضعیت زیر :
کد:
/ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=udp dst-port=500,1701,4500 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
همینطور در روتر میکروتیک خودتون میتونید اجازه اتصال به تونل را فقط ای پی، استاتیک سایت دوم خودتون بدین.
یا میتونید برای جلوگیری از بروت فورس شدن و مورد حمله قرار گرفتن تونل شما توسط هکر ها به هدف پیدا کردن یوزر و پسورد تونل هاتون ،
مشابه تنظیمات زیر به هر آدرس آی پی بیشتر از سه مرتبه فرصت خطا وارد کردن، نام کاربری و رمز عبور را ندهید و در مرتبه خطا وارد کردن چهارم اون آی پی ارسال کننده بصورت خودکار ارتباطاتش با روتر دراپ بشه و یا معطل نگه داشته بشه ...
کد:
/ip firewall filter
add action=tarpit chain=input comment="tarpit Attacker" protocol=tcp src-address-list="Attacker_BlockList"
add action=drop chain=input comment="dropping Attacker" src-address-list="Attacker_BlockList"
add action=add-dst-to-address-list address-list="Attacker_BlockList" address-list-timeout=2w chain=output comment="PPP Bruteforce Add BlockList" content="M=bad" dst-address-list=Login_stage3 log=yes
add action=add-dst-to-address-list address-list=Login_stage3 address-list-timeout=15m chain=output content="M=bad" dst-address-list=Login_stage2
add action=add-dst-to-address-list address-list=Login_stage2 address-list-timeout=5m chain=output content="M=bad" dst-address-list=Login_stage1
add action=add-dst-to-address-list address-list=Login_stage1 address-list-timeout=2m chain=output content="M=bad" dst-address=!192.168.1.0/24