- dl.20learn.irdl.20learn.ir/mikrotik/mik(4).pdf · [admin@mikrotik] >ip firewall filter add chain=forward action=drop protocol=icmp Src-address = 10.10.10.2 هچ نانچ، دنیآ

فصل چهارم -مرجع کاربردی میکروتیک

1

:شامل

جزوه آموزشی

فیلم آموزشی

چهارمفصل -مرجع کاربردی میکروتیک

www.bazyar.ir

فصل چهارم -مرجع کاربردی میکروتیک

2

فصل چهارم -مرجع کاربردی میکروتیک

3

ای دو جهان از قلمت یک رقم بی رقمت لوح دو عالم عدم

ره هب نهان خاهن تحقیق ده مشعل توفیق هن رد کف من

شام من از صبح سخن روز ساز شمع زبانم سخن ارفوز ساز

فصل چهارم -مرجع کاربردی میکروتیک

4

: خوانید می فصل این در آنچه

5.... ...............................................................................................................................................................چیست فیلترینگ

5...... .............................................................................................های میکروتیک ruleپارامتر های مورد استفاده در

chain ............................................................................................................................. ...................................5

action .............................................................................. .................................................................................6

src-address ............................................................................................................................. .....................6

dst-port ............................................................................................................................. ...............................6

protocol ....................................................................................... ....................................................................6

7................. .............................................................................................................................کاربرد پارامتر های فیلترینگ

7........................ ...............................................................................................................................1مثال شماره

7........................ ............................................................................................................................. 2مثال شماره

8.................... ............................................................................................................................. 3ماره مثال ش

8.............................................................. .................................................................................... 4مثال شماره

8.................... ............................................................................................................................. 5مثال شماره

9.................. .................................ت فیلترینگ به همراه پیلده سازی در محیط گرافیکیعملیا، بررسی 1البراتوار

فصل چهارم -مرجع کاربردی میکروتیک

5

Filtering

مییی فیلترینییگ پکییت هییایی کییه از مسیییر یییا ع ییور در . ایجییاد فیلترینییگ اسییت ، از قابلیییت هییای فییایروال دیگییر یکییی

.می شوندشود فیلتر گفته می RULEه آنها بوانینی که و بر اساس ق می گیرندتحت کنترل قرار کنند

:شامل دو قسمت کلی می باشد ruleهر

( ترافیک ورودی یا خروجی از میکروتیک )ها را مشخص می کند بسته، ترافیک قسمت اول

.ها انجام می شود بستهعملیاتی است که بر روی ، قسمت دوم

:در مسیریا filteringتنظیم

[admin@mikrotik] > ip firewall filter add chain=[input | output | forward]

action=[drop | accept | reject] src-address=[source ip address] dst-port=[destination

port] protocol=[protocol]

:فیلترینگ های ruleمورد استفاده در پارامترهای

1 )Chain : می تواند سه حالت را این پارامتر .های مورد نظر را مشخص می کنیم بستهمسیر ترافیک ، پارامتردر این

: ، که به این شرحند در بر بگیرد

Input :این حالت مربوط به پکت هایی است که مقصدشان خود دستگاه میکروتیک است.

استفاده ازمسیریا میکروتیک و یا زمانی که شما با کردن Pingبرای icmpارسال بسته های : به طور مثال

WinBox ، از بنابراینیا دیگر روش های ممکن به میکروتیک متصل می شویدchain=input استفاده می کنید.

Output : شوند میکروتیک خارج میمسیریا هایی است که از بستهاین حالت مربوط به.

کردن به سیستم یا دستگاهی را داشته باشند و یا telnetاخل مسیریا سعی در بسته هایی که از د: به طور مثال

.را داشته باشد ...و NTPیا DNSمسیریا سعی در اتصال به سرویس دهنده های

Forward : شما ع ور می کند مسیریا این حالت مربوط به ترافیکی است که از.

.می گویند forward به کارت ش که دیگر آن را فرایند ارسال بسته از یک کارت ش که مسیریا

شما نقش مسیریا چنانچه یک سیستم داخلی درخواست سایتی را از اینترنت داشته باشد و: به طور مثال

gateway را از کارت ش که ای که به ش که داخلی مرت ط می بسته درخواست ، مسیریا داشته باشددر ش که را

.(مرت ط است ارسال می کند wanو به کارت ش که ای که به باشد ، دریافت می کند

2) Action : می تواند سه این پارامتر . .کنیم اعمال می شود را تعیین می هاعملیاتی که بر روی پکت ، پارامتردر این

: ، که به این شرحند حالت را در بر بگیرد

فصل چهارم -مرجع کاربردی میکروتیک

6

Accept :ی شوددر این حالت به بسته ها اجازه ع ور داده م.

Drop :وهیچ .به ع ارتی بسته ها متوقف می شوند. در این حالت به بسته ها اجازه ع ور داده نمی شود

.جوابی به فرستنده بسته ها داده نمی شود

Reject : در این حالت همانند عملیاتDrop است با این تفاوت که پیغامی با استفاده از بستهicmp نیز

.هدبه کاربر نشان می د

3 )Src-address : استفاده می کنیم پارامتر برای مشخص کردن آدرس فرستنده یک بسته از این.

کنیم فیلتررسند را بخواهیم بسته هایی که فقط از سمت یک سیستم خاص به مسیریا می چنانچهبه طور مثال

. می کنیم مشخص پارامتراین سیستم فرستنده را در IPآدرس

-srcه بخواهیم بسته های مربوط به تمام کالینت های موجود در ش که م دا را فیلتر کنیم پارامتر چنانچ: نکته

address را استفاده نمی کنیم.

.گرفته می شود ا در نظر کل بسته هرا ذکر نکنیم پارامترچنان چه در دستور فیلترینگ این : نکته

4 )Dst-port : ه می شود باشد از این پارامتر استفادپورت خاصی مقصد آنهاهایی که برای اعمال فیلترینگ بر روی بسته

.ا را در نظر می گیردکل پورت هقابل ذکر است که چنان چه در دستور فیلترینگ این پارامتر را ذکر نکنیم : نکته

5) Protocol: ه می این پارامتر استفادباشد از خاصی پروتوکل مقصد آنهابرای اعمال فیلترینگ بر روی بسته هایی که

.کردن ping، برای عملیات icmpبه طور مثال بسته های مربوط به پروتوکل . شود

فصل چهارم -مرجع کاربردی میکروتیک

7

:را در مثال هایی به تفصیل نشان خواهیم داد مواردکاربرد این

: 1مثال شماره

.کند می dropکه به سمت میکروتیک می آید را icmpتمام بسته های پروتوکل ruleدر این

src-address فیلدچرا که از . کند ping را میکروتیک مسیریا هیچ سیستمی نمی تواند ruleبا اعمال این

.استفاده نکرده ایم

[admin@mikrotik] > ip firewall filter add chain=input action=drop

protocol=icmp

: 2مثال شماره

dropبه سمت میکروتیک می آید را ip = 10.10.10.2 از سمت که icmpبسته های پروتوکل تمام ruleدر این

.کند می

.کنند pingتوانند بقیه سیستم ها می. کند pingنمی تواند به میکروتیک 10.10.10.2به ع ارتی فقط سیستم

[admin@mikrotik] > ip firewall filter add chain=input action=drop protocol=icmp

Src-address = 10.10.10.2

فصل چهارم -مرجع کاربردی میکروتیک

8

: 3مثال شماره

[admin@mikrotik] >ip firewall filter add chain=forward action=drop protocol=icmp

Src-address = 10.10.10.2

می آیند ،چنان چه به سمت مسیریا ip=10.10.10.2از سمت که icmpتمام بسته های پروتوکل ruleدر این

:و پیغام زیر نشان داده میشود بسته جوا برگشت داده می شودد، کرده باشن ping خود میکروتیک را

Reply from 10.10.10.10 : bytes=32 time=0ms TTL=64

به ع ارتی بسته جوا ،میشوند dropکرده باشند بسته ها pingاما اگر ش که ای که بعد از مسیریا وجود دارد را

.نشان داده می شود .Request timed outو پیغام . برگشت داده نمیشود

میشوند،اما اگر خود مسیریا یعنی Drop بسته ها کند ، Ping را 162.16.1.20چنانچه سرور : به طور مثال

. شود کند ، بسته های جوا به فرستنده برگشت داده می pingرا 162.16.1.1

: 4مثال شماره

.نداشته باشد ار مقصدیبه هیچ telnet ارت اط از طریق مشخص کرده ایم که هیچ سیستمی اجازه ruleدر این

(است telnetمربوط به پروتوکل 23پورت )

[admin@mikrotik] > ip firewall filter add chain=forward action=drop

protocol=icmp protocol=tcp Dst-port = 23

ruleاما چنانچه بخواهید این . بزند ، مشکلی وجود ندارد telnetچنان چه سیستمی بخواهد به خود مسیریا : نکته

.کنیدرا انتخا chain = inputeباید بزنند telnetرا به صورتی تنظیم کنید که کالینت ها نتوانند به میکروتیک

: 5مثال شماره

به سمت میکروتیک را نداشته باشد و icmpاجازه فرستادن بسته سیستمیمشخص کرده ایم که هیچ ruleدر این

.نشان داده شود فرستندهاین پیغام برای

[admin@mikrotik] > ip firewall filter add chain=input action=reject protocol=icmp

protocol=tcp

بعضی از این پیغام ها را تشخیص ندهد و به Windows 7ردی ممکن است ،سیستم عامل قابل ذکر است که در موا

.را نشان دهد Request Time Out جای آن ع ارت

فصل چهارم -مرجع کاربردی میکروتیک

9

: 1البراتوار

.می باشد WinBoxبه همراه پیاده سازی در نرم افزار هدف از بررسی این البراتوار بررسی عملیات فیلترینگ

تنها به سرور اتوماسیون اداری موجود در اینترانت Lan#1که می کنیم را به گونه ای تنظیم در این سناریو مسیریا

Lan#2 تنها به اینترنت وLan#3 هم به اینترنت و هم به اینترانت دسترسی داشته باشند.

:برای پیاده سازی این سناریو

سه سیستمWindows 7 جهت ش یه سازی کالینت های موجود در هرLan

یک مسیریا میکروتیک به عنوانFirewall

دو سیستمWindows Server 2008 اینترنت و اینترانت راه اندازی می کنیم برای ش یه سازی .

:تنظیمات در مسیریا

:به کارت های ش که مسیریا Ipانتسا آدرس . 1

[admin@mikrotik] > ip address add address=162.16.1.1/24 interface=ether3

[admin@mikrotik] > ip address add address=10.10.10.1/24 interface=ether1

[admin@mikrotik] > ip address add address=172.16.1.1/24 interface=ether2

فصل چهارم -مرجع کاربردی میکروتیک

11

: winboxاز طریق نرم افزار به کارت های ش که مسیریا Ipانتسا آدرس

در . را انتخا می کنیم Addressesو از زیر منوی باز شده IPاز منوی اصلی گزینه WinBoxدر نرم افزار

مربوط به کارت ش که های IPبرای اضافه کردن مشخصات ADDبر روی عالمت address Listصفحه

.مسیریا کلیک می کنیم

ض تمام ترافیک بسته ها اجازه ع ور از جهت تنظیم قوانین فایروال میکروتیک ، از آنجا که به صورت پیش فر:نکته

.فایروال را دارند بنابراین تنها مواردی که اجازه ع ور از فایروال را ندارند به مسیریا میکروتیک اضافه می کنیم

:به اینترنت Lan#1تنظیمات جهت عدم دسترسی کالینت های موجود در . 2

[admin@mikrotik] > ip firewall filter add chain=forward action=drop

Src-address=10.10.10.10/24 dst-address=162.16.1.100

اجازه ع ور از فایروال میکروتیک را Lan 1از آنجا که به صورت پیش فرض تمام بسته ها ی سیستم موجود در

.نیمدارند بنابراین تنها بسته هایی که مقصد آنها اینترنت می باشد را فیلتر می ک

: winboxاز طریق نرم افزار به اینترنت Lan#1تنظیمات جهت عدم دسترسی کالینت های موجود در

و Ip ، از منوی اصلی گزینه WinBoxبرای اعمال قوانین فایروال بر روی مسیریا میکروتیک از طریق نرم افزار

بر Filter Rulesاز سربرگ Firewallره در پنج. را انتخا می کنیم Firewallاز زیر منوی باز شده گزینه

در سربرگ New Firewall Ruleدر پنجره . برای اضافه کردن قانون جدید کلیک می کنیم ADDروی عالمت

General قسمت های مورد نظر را وارد می کنیم

فصل چهارم -مرجع کاربردی میکروتیک

11

Lan1نوع عملیاتی که بر روی بسیته هیای کیه از سیمت Actionدر سربرگ New Firewall Ruleدر پنجره

.وارد می کنیم action = dropکه در این مثال . می آید را مشخص می کنیم

:به اینترانت Lan#2تنظیمات جهت عدم دسترسی کالینت های موجود در . 3

[admin@mikrotik] > ip firewall filter add chain=forward action=drop

Src-address=10.10.10.100/24 dst-address=172.16.1.100

اجییازه ع ییور از فییایروال Lan 1از آنجییا کییه بییه صییورت پیییش فییرض تمییام بسییته هییا ی سیسییتم موجییود در

.لتر می کنیممیکروتیک را دارند بنابراین تنها بسته هایی که مقصد آنها اینترنت می باشد را فی

انجام می دهیم و در نهایت تنظیمات Lan1را نیز مانند تنظیمات Lan2تنظیمات برای ترافیک بسته های

Firewall در میکروتیک به این صورت خواهد بود.

:به اینترانت و اینترنت Lan#3تنظیمات جهت دسترسی کالینت های موجود در . 4

وجیود نیدارد ، هییچ فیلتیری Lan 3جیا کیه محیدودیتی بیرای ترافییک بسیته هیای ط ق قانون گفته شیده از آن

.برای این نوع ترافیک ها در نظر گرفته نمی شود

فصل چهارم -مرجع کاربردی میکروتیک

12

:تنظیمات در کالینت ها . 5

: Lan 1تنظیمات کالینت موجود در

IP=10.10.10.10

Subnet Mask=255.255.255.0

Default Gateway=10.10.10.1

: Lan 2نت موجود در تنظیمات کالی

IP=10.10.10.100

Subnet Mask=255.255.255.0

Default Gateway=10.10.10.1

: Lan 3تنظیمات کالینت موجود در

IP=10.10.10.250

Subnet Mask=255.255.255.0

Default Gateway=10.10.10.1

:تنظیمات در سرور ها . 6

: اینترانت تنظیمات سرور موجود در

IP=172.16.1.100

Subnet Mask=255.255.255.0

Default Gateway=172.16.1.1

: اینترنت تنظیمات سرور موجود در

IP=162.16.1.100

Subnet Mask=255.255.255.0

Default Gateway=162.16.1.1

فصل چهارم -مرجع کاربردی میکروتیک

13

:تست ارت اط . 7

بسته ای را به سمت ping 172.16.1.100با استفاده از دستور lan 1تست ارت اط از سیستم موجود در برای) 1.7

:و در پاسخ این ع ارت نشان داده می شود . سرور اتوماسیون اداری در اینترانت ارسال می کنیم

Reply from 172.16.1.100: bytes=32 time<1ms TTL=63

ت بنابراین ارت اط سیستم است بسته به سرور در اینترانت رسیده اس در نتیجه دستور نشان داده شدههمان طور که

. با این سرور بر قرار است lan1موجود در

ا به سمت بسته ای ر ping 162.16.1.100با استفاده از دستور lan 1تست ارت اط از سیستم موجود در برای ( 2.7

:و در پاسخ این ع ارت نشان داده می شود اینترنت ارسال می کنیم ،

Request timed out

.با اینترنت برقرار نیست lan1در است ارت اط سیستم موجوددر نتیجه دستور نشان داده شده طور که همان

بسته ای را به سمت ping 172.16.1.100با استفاده از دستور lan 2تست ارت اط از سیستم موجود در برای( 3.7

:اتوماسیون اداری در اینترانت ارسال می کنیم سرور

Request timed out.

با سرور اتوماسیون اداری در lan2است ارت اط سیستم موجود در در نتیجه دستور نشان داده شدههمان طور که

.اینترانت برقرار نیست

بسته ای را به سمت ping 162.16.1.100با استفاده از دستور lan 2جهت تست ارت اط از سیستم موجود در ( 4.7

:اینترنت ارسال می کنیم

Reply from 162.16.1.100: bytes=32 time<1ms TTL=63

.با اینترنت برقرار است lan2است ارت اط سیستم موجود در در نتیجه دستور نشان داده شدههمان طور که

بسته ای را به سمت سرور ping 172.16.1.100با استفاده از دستور lan 3برای تست ارت اط از سیستم موجود در ( 5.7

:اداری در اینترانت ارسال می کنیم اتوماسیون

Reply from 172.16.1.100: bytes=32 time<1ms TTL=63

با این سرور بر قرار است lan3است ارت اط سیستم موجود در در نتیجه دستور نشان داده شدههمان طور که

فصل چهارم -مرجع کاربردی میکروتیک

14

بسته ای را به سمت ping 162.16.1.100با استفاده از دستور lan 3برای تست ارت اط از سیستم موجود در ( 6.7

:اینترنت ارسال می کنیم

Reply from 162.16.1.100: bytes=32 time<1ms TTL=63

.با اینترنت برقرار است lan3است ارت اط سیستم موجود در در نتیجه دستور نشان داده شدههمان طور که