فیلترینگ در میکروتیک

فیلترینگ در میکروتیک : یکی دیگر از قابلیت های فایروال ایجاد فیلترینگ است.در فیلترینگ پکت هایی که از روتر عبور می کنند تحت کنترل قرار می گیرند و براساس قوانینی که به آنها Rule گفته می شود فیلتر می شوند.


فیلترینگ در میکروتیک

قاعده کلی فیلترینگ در میکروتیک

فایروال بر پایه ی رول های آن بنا شده است یعنی فایروال و روتر کاری را انجام می دهد که رول ها بگویند.
هر رول از دو قسمت تشکیل شده است :

  • قسمت اول : ترافیک بسته ها را مشخص می کند(ترافیک ورودی و یا خروجی از میکروتیک).
  • قسمت دوم : عملیاتی است که بر روی بسته ها انجام می شود.

تنظیمات فیلترینگ در روتر :

[admin@Router-1]>;ip firewall filter add chain=[input / output / forward] src-address=[source ip address]
action=[drop / accept / reject] dst-port=[destination port] protocol=[protocol]

پارامترهای مورد استفاده در Ruleهای فیلترینگ :

chain:

در این پارامتر فیلترینگ در میکروتیک ، مسیر ترافیک بسته های مورد نظر را مشخص می کنیم این پارامتر می تواند سه حالت را در بر گیرد:

Input:

این حالت مربوط به پکت هایی است که مقصدشان خود دستگاه میکروتیک است.

بطور مثال: ارسال بسته های ICMP برای Ping کردن روتر میکروتیک و یا زمانی که شما با ساتفاده از WinBox و SSHو … ممکن است به میکروتیک متصل شوید بنابراین Chain=Input قرار م دهیم.

Output:

این حالت مربوط به بسته هایی است که از روتر میکروتیک خارج می شوند.

بطور مثال: بسته هایی که از داخل روتر سعی در Telnet زدن به سیستم یا دستگاهی را داشته باشند و یا روتر سعی در اتصال به سرویس دهنده های DNSو NTPو … را داشته باشد.

Forward:

این حالت مربوط به ترافیکی است که از روتر شما عبور می کند.

فرایند ارسال بسته از یک کارت شبکه روتر به کارت شبکه دیگر آن را Forward می گویند.

بطور مثال: یک سیستم داخلی درخواست سایتی را از اینترنت داشته باشد و چنانچه روتر شما نقش Gateway در شبکه را داشته باشد.

روتر بسته درخواست را از کارت شبکه ایی که به شبکه داخلی مرتبط باشد دریافت می کند و به کارت شبکه ایی که به WAN مرتبط است ارسال می کند.

Action:

در این پارامتر عملیاتی که بر روی Packetها اعمال می شود را تعیین می کنیم.

Accept:

در این حالت به بسته ها اجازه عبور داده می شود.

Drop:

در این حالت به بسته اجازه عبور داده نمی شود.به عبارتی بسته ها متوقف می شوند و هیچ جوابی به فرستنده بسته ها داده نمی شود.

Reject:

همانند Drop است با این تفاوت که پیامی با استفاده از بسته ICMP نیز به کاربر نشان می دهد.

add-dst-to-address-list:آی پی مقصد را مشخص می کند.

add-dst-to-address-list: آی پی مبدا را مشخص می کند.

قبل از اینکه به رفتار این دو به پردازیم بهتر است با Address List ها آشنا بشیم .Address Listها زمانی به کار می آیند که شما بخواهید برای تعداد زیادی  IP که از یک محدوده یا رنج نیستند تصمیم بگیرید.مثلا می خواهیم سه IPجدا را از دسترسی به وب محروم کنیم بدون استفاده از Address List ها باید سه رول متفاوت را بنویسیم.اگر این تعداد IPها  ۵۸۸ تا بود چه اتفاقی می افتاد ؟ برای راحتی اینگونه موارد از آدرس لیست ها استفاده می شود.به این معنی که آدرس های مورد نظر را در یک لیست قرار داده و به ازای آن لیست یک رول را می نویسیم.

در صورتی که خواسته باشید بعضی از IP های ورودی رو Log کنید مثلا کسانی که سعی می کنند از طریق Winbox به روتر وصل شوند. می توان به کمک دو  Action بالا یک لیست آدرس از آنها تهیه کنید.

Log:

تقریبا شبیه دو مورد بالا می باشد اما با چند تفاوت مهم . Log یک سری اطلاعات را برای ما ذخیره می کند که این اطلاعات از طریق منوی اصلی گزینه  Log قابل دسترس می باشد این اطلاعات شامل موارد زیر می باشد :

In-interface,out-interface,src-mac,protocol,src-port

اولین تفاوت همین اطلاعات بالا می باشد که با اطلاعات ذخیره شده قبل متفاوت می باشد و دوم اینکه شما از لیست آدرس ها در رول های بعدی می توانید استفاده کنید اما Log صرفا جهت اطلاع می باشد.

Jump:

پرش به زنجیره  Chain مشخص شده است.

Return:

برگرداندن کنترل به زنجیره در جایی که پرش صورت گرفته است

Trapit:

ضبط و نگهداری ارتباط ( Tcp کاربرد در کم کردن اثر حملات .) Dos این  Action بسته های Tcp را نگه میدارد و به آنها جواب مناسبی می دهد.

Passthrough:

این Action کار خاصی انجام نمی دهد صرفا از رول خارج می شود یا صرف نظر می کند.در نظر نگرفتن قانون و رفتن به قانون بعدی(کاربرد : بیشتر برای آمار گیری)

Src-Address:

برای مشخص کردن آدرس فرستنده یک بسته ، از این پارامتر استفاده می کنیم.

بطور مثال : چنانچه بخواهیم بسته هایی که فقط از سمت یک سیستم خاص به روتر می رسند را فیلتر کنیم آدرس IP سیستم فرستنده را در این پارامتر مشخص می کنیم.

نکته : چنانچه بخواهیم بسته های مربوط به تمامی کلاینت های موجود در شبکه مبدا را فیلتر کنیم پارامتر Src-Address را خالی می گذاریم.

Dst-Port:

برای اعمال فیلترینگ بر روی بسته هایی که مقصد آنها پورت خاصی باشد از این پارمتر استفاده می شود.

نکته: چنانچه در دستور فیلترینگ این پارامتر را ذکر نکنیم کل پورت ها را در نظر میگیرد.

Protocol:

برای اعمال فیلترینگ بر روی بسته هایی که مقصد آنها پروتکل خاصی باشد از این پارامتر استفاده می شود.
بطور مثال: بسته های مربوط به پروتکل ICMP برای Ping کردن

سناریو۱:

۵ هدف از انجام این سناریو بررسی مثال هایی از تنظیمات Filtering می باشد.

فیلترینگ در میکروتیک

این سناریو فیلترینگ در میکروتیک همان سناریو Destination Nat می باشد و تمامی تنظیمات همان تنظیمات قبل می باشد فقط در سناریو Destination Nat شبکه محلی  Lan-2 به اینترنت دسترسی نداشت که در این سناریو بروی روتر Nat ، R3 ایجاد می کنیم تا Lan-2 نیز به اینترنت دسترسی داشته باشد.

نکته : توجه داشته باشید در این سناریو روتر R2 به عنوان اینترنت در نظر گرفته شده است.

اعمال عملیات Nat بر روی بسته هایی که به سمت روتر R3 می آیند :

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

مثال هیچ سیستمی نتوانند از طریق Winbox به روتر R3 متصل شوند :

برای ایجاد فیلترینگ از منوی اصلی گزینه  IPو از زیرمنوی باز شده Firewall را انتخاب می کنیم در پنجره باز شده به بخش FilterRule رفته و برروی ADD کلیک می کنیم در پنجره باز شده فیلتر مورد نظر را ایجاد می کنیم.

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

برای دیدن لیست پورت ها می توانیم از منوی اصلی گزینه IP و از زیرمنوی بازشده Services را انتخاب کنیم در پنجره باز شده لیست پورت ها را مشاهده می کنید.

فیلترینگ در میکروتیک

مثال: هیچ شبکه ای نتواند به روتر R3 دسترسی داشته باشد (Webfigو SSHو Winbox)

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

مثال: شبکه ایی که مستقیم به روتر R3در ارتباط است(یعنی )Lan-2بتواند با Winbox به روتر R3دسترسی داشته باشد اما بقیه شبکه ها نتوانند دسترسی داشته باشند.

نکته: در این مثال چون Not را انتخاب کردیم یعنی همه ی شبکه ها بجز شبکه ایی که در Src-address وارد کردیم نتوانند از طریق Winbox  به روتر دسترسی داشته باشند.

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

مثال: فقط یک سری کاربران بتوانند به کمک Webfig به روتر R3 دسترسی داشته باشند.

ابتدا یک آدرس لیست از کاربرانی که می خواهیم دسترسی به آنها بدهیم اجاد می کنیم سپس فیلترینگ اعمال می کنیم.
برای ایجاد کردن آدرس لیست از منوی اصلی گزینه IPو از زیرمنوی باز شده Firewall را انتخاب میکنیم و از پنجره بازشده به بخش Address List رفته و بر روی ADD کلیک می کنیم.در پنجره باز شده هر چند کاربر که مورد نیاز باشد را تعریف میکنیم.(براساس IP)

فیلترینگ در میکروتیک

دلیل اینکه در قسمت Address : 192.168.10.2 را وارد نکردیم این بود که این IP از طریق روترNat ، R1 می شود به همین خاطرIP: 200.1.1.1 را وارد کردیم در صورت نوشتن  IP: 192.168.10.2 به جواب نخواهیم رسید.

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

در Src-Address List آدرس لیستی که خودمان ایجاد کردیم را انتخاب می کنیم و گزینه Not را نیز فعال می کنیم تا فقط کاربرانی که خودمان انتخاب کردیم بتوانند به Webfig روتر R3 دسترسی داشته باشند.

فیلترینگ در میکروتیک

مثال: میخواهیم رولی ایجاد کنیم که هیچ سیستمی نتواند روتر R3 را Ping کند.

فیلترینگ در میکروتیک

 فیلترینگ در میکروتیک

تنظیم فیلترینگ

با تنظیم این فیلترینگ بسته هایی که به روتر R3 وارد می شود ping داده نمی شود.در قسمت Reject With پیامی که خودمان مشخص کردیم نشان داده می شود.اگر از داخل روتر به یک شبکه دیگر Ping بدیم پیام  Timeout داده می شود چون ICMP یک پیام دو طرفس که دارای Send و Recive می باشد.ما می خواهیم یک استثنا قائل شویم تا اگر از داخل روتر Ping زدیم باز باشد ولی از هر شبکه ایی خواستن روتر را Ping کنند بسته باشد.

 فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

با این تنظیمات فیلترینگ در میکروتیک زمانی که از داخل روتر به هر شبکه ایی Ping بزنیم بسته ICMP فیلتر نمی باشد.

نکته: در صورتی که هنوز نمی توانستید از داخل روتر Ping کنید از پنجره Firewall به بخش Connections رفته و بر روی Trackingکلیک کرده و از پنجره بازشده یکبار تیک گزینه Enable را برداشته Ok میزنیم و سپس مجددا آن تیک را قرار می دهیم.در خیلی از موارد که ما با فایروال کار می کنیم و به جواب نمیرسیم با این کار مشکل ما حل می شود.(براساس تجربه)

فیلترینگ در میکروتیک

مثال: هیچ سیستمی اجازه ارتباط از طریق Telnet به هیچ مقصدی را نداشته باشد.

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

با این تنظیم چنانچه سیستمی بخواهد به خود روتر Telnet بزند مشکلی برای فیلترینگ در میکروتیک وجود ندارد. اما چنانچه بخواهید این رول را طوری تنظیم کنید که کلاینت ها نتوانند به روتر Telnet بزنند باید Chain=input قرار دهید.

سناریو۲ : ۳هدف از انجام این سناریو بررسی عملیات Filtering می باشد.

فیلترینگ در میکروتیک

در این سناریو  فیلترینگ در میکروتیک , روتر R1 را به گونه ایی تنظیم می کنیم که Lan-1 تنها به وب هاست موجود در شبکه اینترانت، Lan-2 تنها به اینترنت و Lan-3 هم به اینترنت و هم به اینترانت دسترسی داشته باشند.

برای پیاده سازی این سناریو :

  • سه سیستم جهت شبیه سازی کلاینت های موجود در هر Lan
  • یک روتر به عنوان Firewall این روتر از طریق کارت شبکه ether3 به اینترنت دسترسی دارد).
  • یک سرور مجازی ۲۰۱۲ جهت شبیه سازی اینترانت که بر روی آن وب سرور راه اندازی شده است.

انتساب IP برای کارت های شبکه روتر R1:

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

 اعمال عملیات nat بر روی بسته هایی که به سمت روتر R1 می آیند:

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

تنظیمات جهت عدم دسترسی کلاینت موجود در Lan-1 به اینترنت:

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

فیلترینگ در میکروتیک

نوین هاست یار نوین شماست.

نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *