Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

تنظیم فایروال میکروتیک برای دسترسی سیستمها به اینترنت

9.210 visualizaciones

Publicado el

نحوه تنظیم و پیکر بندی و اتصال سیستمهای یک شبکه به اینترنت با استفاده از فایروال میکروتیک سری 750
ارایه دهنده عباس پیرنظریان

Publicado en: Internet
  • Sé el primero en comentar

تنظیم فایروال میکروتیک برای دسترسی سیستمها به اینترنت

  1. 1. ‫آموزش‬‫اتصال‬ ‫تصویری‬ ‫یک‬ ‫سیستمهای‬‫به‬ ‫شبکه‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫اینترنت‬ ‫سری‬ ‫میکروتیک‬ ‫فایروال‬750 ‫واقعی‬ ‫و‬ ‫عملی‬ ‫مثال‬ ‫یک‬ ‫بهمراه‬ ‫و‬ ‫ها‬ ‫نت‬ ‫کافی‬ ‫در‬ ‫استفاده‬ ‫برای‬ ‫شده‬ ‫پیشنهاد‬ ‫و‬ ‫کوچک‬ ‫های‬ ‫شبکه‬‫متوسط‬ ‫دهنده‬ ‫ارائه‬:‫پیرنظریان‬ ‫عباس‬ ‫پژوهشگاه‬ ‫افزار‬ ‫سخت‬ ‫و‬ ‫شبکه‬ ‫کارشناس‬ ‫اسالمی‬ ‫فرهنگ‬ ‫و‬ ‫علوم‬ pirnazarian@isca.ac.ir
  2. 2. ‫مقدمه‬:‫میکروتیک‬ ‫چیست‬‫؟‬ ‫کشور‬ ‫در‬ ‫شرکت‬ ‫یک‬ ‫میکروتیک‬LATVIA(‫شرقی‬ ‫اروپای‬ ‫در‬ ‫کوچک‬ ‫نسبتا‬ ‫کشور‬ ‫یک‬)‫سال‬ ‫در‬ ‫که‬ ‫است‬ 1995‫عامل‬ ‫سیستم‬ ‫خود‬ ‫کار‬ ‫توسعه‬ ‫پی‬ ‫در‬ ‫و‬ ‫شروع‬ ‫وایرلس‬ ‫های‬ ‫روتر‬ ‫فروش‬ ‫با‬ ‫را‬ ‫خود‬ ‫کار‬Mikrotik Router OS‫کرد‬ ‫ارائه‬ ‫را‬.‫میکروتیک‬‫نام‬‫عامل‬‫سیستم‬‫مسیریابی‬‫هسته‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫که‬ ‫است‬ ‫لینوکس‬‫همچنین‬ ‫و‬ ‫دارد‬ ‫را‬ ‫خانگی‬ ‫های‬‫رایانه‬ ‫روی‬ ‫بر‬ ‫نصب‬ ‫قابلیت‬ ‫هم‬ ‫میکروتیک‬ ،‫است‬ ‫شده‬ ‫ساخته‬ ‫افزاری‬‫نرم‬ ‫بسته‬ ‫صورت‬ ‫به‬-‫است‬ ‫شده‬ ‫ارائه‬ ‫افزاری‬‫سخت‬.‫استانداردهای‬ ‫گیری‬‫شکل‬ ‫با‬ ‫همزمان‬۱۱/۸۰۲ ‫شد‬ ‫افزوده‬ ‫آن‬ ‫به‬ ‫نیز‬ ‫سیم‬ ‫بی‬ ‫قابلیت‬ ‫عامل‬‫سیستم‬ ‫این‬ ‫افزاری‬‫سخت‬ ‫توسعه‬ ‫و‬.MikroTik‫سرور‬ ‫یک‬ ‫بر‬ ‫مبتنی‬kernel‫کامال‬ ‫صورت‬ ‫به‬ ‫دهی‬ ‫سرویس‬ ‫و‬ ‫نصب‬ ‫قابل‬ ‫معمولی‬ ‫رایانه‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫که‬ ‫است‬ ‫لینوکس‬ ‫است‬ ‫پایدار‬.‫های‬ ‫ویژگی‬ ‫از‬MikroTik‫مانند‬ ‫آن‬ ‫سرویسهای‬ ‫اکثر‬ ‫که‬ ‫است‬ ‫این‬NAT , Bandwidth Manager , Filtering‫و‬...‫الیه‬ ‫روی‬ ‫بر‬3‫ندارد‬ ‫باالتر‬ ‫های‬ ‫الیه‬ ‫به‬ ‫نیازی‬ ‫دلیل‬ ‫همین‬ ‫به‬ ‫و‬ ‫پذیرد‬ ‫می‬ ‫انجام‬ ‫و‬ ‫کیفیت‬ ‫بردن‬ ‫باال‬ ‫در‬ ‫توجهی‬ ‫قابل‬ ‫مقدار‬ ‫خود‬ ‫این‬ ‫که‬performance‫دارد‬ ‫تاثیر‬ ‫سیستم‬.‫امر‬ ‫این‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫که‬ ‫دهد‬ ‫می‬ ‫را‬ ‫امکان‬ ‫این‬ ‫ما‬ ‫به‬pc‫کامپیوتر‬ ‫یک‬ ‫مثال‬ ‫عنوان‬ ‫به‬ ‫معمولی‬Pentium 3‫با‬ 64‫مثل‬ ‫اعمالی‬ ‫و‬ ‫کرده‬ ‫رد‬ ‫را‬ ‫باند‬ ‫پهنای‬ ‫زیادی‬ ‫مقدار‬ ‫رم‬ ‫فضای‬ ‫مگابایت‬NAT‫و‬Filltering‫روی‬ ‫دهیم‬ ‫انجام‬ ‫آنها‬. ‫واقع‬ ‫در‬MikroTik‫از‬pc‫یک‬ ‫ما‬ ‫های‬router‫به‬ ‫که‬ ‫دهد‬ ‫می‬ ‫ما‬ ‫به‬ ‫را‬ ‫امکان‬ ‫این‬ ‫و‬ ‫سازد‬ ‫می‬ ‫کارآمد‬ ‫کنیم‬ ‫کم‬ ‫و‬ ‫اضافه‬ ‫را‬ ‫مختلف‬ ‫پورتهای‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫آسانی‬.‫های‬ ‫ویژگی‬ ‫از‬ ‫دیگر‬ ‫یکی‬MikroTik‫پایداری‬ ‫است‬ ‫آن‬ ‫ثبات‬ ‫و‬.MikroTik‫می‬ ‫برخوردار‬ ‫خودکار‬ ‫عملکرد‬ ‫و‬ ‫باال‬ ‫بوت‬ ‫سرعت‬ ‫از‬ ‫قوی‬ ‫روتر‬ ‫یک‬ ‫همانند‬
  3. 3. Router OS :‫های‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫میتواند‬ ‫که‬ ‫است‬ ‫لینوکس‬ ‫پایه‬ ‫بر‬ ‫عامل‬ ‫سیستم‬ ‫یک‬ ‫جمله‬ ‫از‬ ‫خوبی‬ ‫بسیار‬ ‫قابلیتهای‬ ‫آن‬ ‫در‬ ‫و‬ ‫شود‬ ‫کارگیری‬ ‫به‬ ‫و‬ ‫نصب‬ ‫معمولی‬ VPN‫قابلیت‬ ‫و‬ ‫اسپات‬ ‫هات‬ ، ‫باند‬ ‫پهنای‬ ‫کنترل‬ ، ‫قوی‬ ‫فایروال‬ ‫یک‬ ، Wireless‫دارد‬ ‫وجود‬.‫را‬ ‫آن‬ ‫الیسنس‬ ‫باید‬ ‫افزار‬ ‫نرم‬ ‫این‬ ‫از‬ ‫استفاده‬ ‫برای‬ ‫دارند‬ ‫متفاوتی‬ ‫بندی‬ ‫رده‬ ‫آن‬ ‫امکانات‬ ‫به‬ ‫توجه‬ ‫با‬ ‫که‬ ‫نمایید‬ ‫خریداری‬. ‫نام‬ ‫به‬ ‫افزاری‬ ‫نرم‬Winbox‫کاربری‬ ‫رابط‬ ‫یک‬ ‫است‬ ‫گردیده‬ ‫طراحی‬ ‫آن‬ ‫برای‬ ‫گرافیکی‬(GUI)‫را‬ ‫تنظیمات‬ ‫انواع‬ ‫آن‬ ‫توسط‬ ‫و‬ ‫است‬ ‫عامل‬ ‫سیستم‬ ‫این‬ ‫برای‬ ‫دهید‬ ‫انجام‬ ‫عامل‬ ‫سیستم‬ ‫این‬ ‫روی‬ ‫بر‬ ‫میتوانید‬.‫متفاوتی‬ ‫ارتباطی‬ ‫های‬ ‫راه‬ ‫جمله‬ ‫از‬ ‫دارد‬ ‫وجود‬ ‫افزار‬ ‫نرم‬ ‫ای‬ ‫با‬ ‫ارتباط‬ ‫برای‬FTP , Telnet , SSH)) ‫شرکت‬ ‫های‬‫مسیریاب‬ ‫همرده‬ ‫و‬ ‫شده‬ ‫ارائه‬ ‫قوی‬ ‫های‬‫مسیریاب‬ ‫جزو‬ ‫دستگاه‬ ‫این‬ ‫سیسکو‬‫باشد‬‫می‬ ‫فرد‬ ‫به‬ ‫منحصر‬ ‫های‬‫قابلیت‬ ‫دارای‬ ‫و‬ ‫باشد‬‫می‬.‫های‬‫قابلیت‬ ‫از‬ ‫کرد‬ ‫اشاره‬ ‫زیر‬ ‫موارد‬ ‫به‬ ‫توان‬‫می‬ ‫میکروتیک‬:‫مسیریابی‬‫آتش‬ ‫دیوار‬‫سیم‬ ‫بی‬
  4. 4. ‫توضیحات‬ ‫محصول‬ ‫مدل‬: RB750G‫روتر‬RB750G‫منظور‬ ‫به‬ ‫شده‬ ‫ساخته‬ ‫باصرفه‬ ‫روتر‬ ‫یک‬ ‫میکروتیک‬ ‫شرکت‬ ‫داشتن‬ ‫با‬ ‫که‬ ‫متوسط‬ ‫های‬ ‫شرکت‬ ‫در‬ ‫استفاده‬۵‫سرعت‬ ‫با‬ ‫اترنت‬ ‫پورت‬ ۱۰/۱۰۰/۱۰۰۰‫تغذیه‬ ‫منبع‬ ‫و‬ ‫پالستیکی‬ ‫داخلی‬ ‫جعبه‬ ‫همراه‬ ‫به‬ ‫ثانیه‬ ‫بر‬ ‫مگابیت‬ ‫باشد‬ ‫می‬.‫روتر‬RB750G‫داشتن‬ ‫به‬ ‫توجه‬ ‫با‬۵‫مسیریابی‬ ‫و‬ ‫انتقال‬ ‫گیگابیت‬ ‫پورت‬ ‫آورد‬ ‫می‬ ‫ارمغان‬ ‫به‬ ‫خود‬ ‫کاربر‬ ‫برای‬ ‫باال‬ ‫سرعت‬ ‫در‬ ‫را‬ ‫اطالعات‬.‫این‬ ‫است‬ ‫بدیهی‬ ‫نسل‬ ‫الیسنس‬ ‫داشتن‬ ‫به‬ ‫توجه‬ ‫با‬ ‫روتر‬۴‫به‬ ‫را‬ ‫زیادی‬ ‫بسیار‬ ‫امکانات‬ ‫میکروتیک‬ ‫دهد‬ ‫می‬ ‫خود‬ ‫شبکه‬ ‫مدیر‬.‫طراحی‬ ‫و‬ ‫کوچک‬ ‫اندازه‬ ‫به‬ ‫توجه‬ ‫با‬ ‫دستگاه‬ ‫این‬ ‫نسل‬ ‫عامل‬ ‫سیستم‬ ‫بیشمار‬ ‫امکانات‬ ‫و‬ ‫پذیر‬ ‫انعطاف‬۴‫مقرون‬ ‫از‬ ‫یکی‬ ‫میکروتیک‬ ‫و‬ ‫ظاهر‬ ‫به‬ ‫توجه‬ ‫با‬ ‫و‬ ‫باشد‬ ‫می‬ ‫دنیا‬ ‫در‬ ‫خود‬ ‫کاری‬ ‫کالس‬ ‫در‬ ‫ها‬ ‫ترین‬ ‫صرفه‬ ‫به‬ ‫روتر‬ ‫از‬ ‫تر‬ ‫قوی‬ ‫گزینه‬ ‫و‬ ‫پیشرفته‬ ‫نسل‬ ‫خود‬ ‫امکانات‬ ‫و‬ ‫قدرت‬Rb750‫می‬ ‫محسوب‬ ‫گردد‬. ‫دستگاه‬ ‫امکانات‬ ‫خالصه‬RB750G‫باشد‬ ‫می‬ ‫زیر‬ ‫شرح‬ ‫به‬ ‫میکروتیک‬ ‫شرکت‬ ‫پردازنده‬ ‫سرعت‬:600‫ظرفیت‬ ‫مگاهرتز‬‫رم‬ ‫حافظه‬:32‫پورت‬ ‫مگابایت‬‫شبکه‬ ‫های‬ :۵‫عدد‬ ‫ها‬ ‫پورت‬ ‫اطالعات‬ ‫انتقال‬ ‫سرعت‬:۱۰/۱۰۰/۱۰۰۰‫نرم‬ ‫مگابیت‬‫دستگاه‬ ‫انداز‬ ‫راه‬ ‫افزار‬:
  5. 5. ‫اولیه‬ ‫تنظیمات‬ ‫و‬ ‫تصویری‬ ‫آموزش‬: ‫فایروال‬ ‫کمک‬ ‫به‬ ‫خواهیم‬ ‫می‬ ‫که‬ ‫ای‬ ‫شبکه‬ ‫دیاگرام‬‫میکروتیک‬‫به‬ ‫نماییم‬ ‫متصل‬ ‫اینترنت‬:
  6. 6. MikroTik ‫تنظیمات‬ ‫اختصاص‬IP address‫میکروتیک‬ ‫های‬ ‫پورت‬ ‫به‬: ‫یک‬ ‫ما‬LAN‫الیه‬ ‫سوییچ‬ ‫یک‬ ‫به‬ ‫که‬ ‫گیریم‬ ‫می‬ ‫نظر‬ ‫در‬ ‫را‬2‫طریق‬ ‫از‬ ‫و‬ ‫بوده‬ ‫متصل‬ MikroTik‫مودم‬ ‫یک‬ ‫به‬ADSL‫است‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫طریق‬ ‫همین‬ ‫از‬ ‫و‬ ‫متصل‬.‫کنیم‬ ‫می‬ ‫فرض‬ ‫که‬IP ADSL‫ما‬192.168.1.1255.255.255.0‫و‬IP‫ما‬ ‫داخلی‬ ‫شبکه‬172.16.1.0 255.255.255.0‫این‬ ‫بنابر‬IP‫شماره‬ ‫پورت‬ ‫روی‬ ‫بر‬ ‫شده‬ ‫تعریف‬2‫شبکه‬ ‫یا‬ ‫میکروتیک‬ ‫ما‬ ‫ما‬ ‫خارجی‬192.168.1.2255.255.255.0‫و‬IP‫شماره‬ ‫پورت‬ ‫روی‬ ‫بر‬ ‫شده‬ ‫تعریف‬1 ‫ما‬ ‫داخلی‬ ‫شبکه‬ ‫یا‬ ‫میکروتیک‬172.16.0.1255.255.255.0‫و‬default gateway‫ما‬ 192.168.1.1‫شود‬ ‫می‬. ‫ابتدا‬ ‫روتر‬ ‫تنظیمات‬ ‫دادن‬ ‫انجام‬ ‫برای‬ ‫افزار‬ ‫نرم‬ ‫توسط‬ ‫آن‬ ‫به‬ ‫باید‬winbox‫که‬ ‫روتر‬ ‫به‬ ‫باشد‬ ‫می‬ ‫اختصاصی‬ ‫افزار‬ ‫نرم‬ login‫کنیم‬.‫را‬ ‫روتر‬ ‫ابتدا‬ ‫اینکار‬ ‫برای‬ ‫کابل‬ ‫با‬RJ45‫رایانه‬ ‫یک‬ ‫شبکه‬ ‫کارت‬ ‫به‬ ‫افزار‬ ‫نرم‬ ‫توسط‬ ‫و‬ ‫نموده‬ ‫متصل‬Winbox ‫شکل‬ ‫مطابق‬1‫طریق‬ ‫از‬Mac Addres ‫شود‬ ‫می‬ ‫شناسایی‬.Username‫و‬password ‫فرض‬ ‫پیش‬ ‫صورت‬ ‫به‬ ‫روتر‬admin‫پسورد‬ ‫با‬ blank(‫خالی‬)‫است‬.‫را‬ ‫پسورد‬ ‫و‬ ‫یوزر‬
  7. 7. ‫ادامه‬ ‫تنظیمات‬ ‫ابتدا‬‫باید‬IP‫کنیم‬ ‫تنظیم‬ ‫و‬ ‫وارد‬ ‫را‬ ‫ها‬.‫از‬ ‫اینکار‬ ‫برای‬ ‫افزار‬ ‫نرم‬ ‫فرمان‬ ‫خط‬ ‫طریق‬New Terminal‫دستورات‬ ‫توانیم‬ ‫می‬ ‫شکل‬ ‫مانند‬ ‫یا‬ ‫کنیم‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫های‬‫از‬ ‫پایین‬‫رابط‬ ‫شده‬ ‫انجام‬ ‫تنظیمات‬ ‫دیدن‬ ‫برای‬ ‫و‬ ‫کنیم‬ ‫استفاده‬ ‫گرافیکی‬ ‫دستور‬ ‫از‬ ‫توانیم‬ ‫می‬ ‫قسمت‬ ‫هر‬ ‫در‬Print‫آن‬ ‫کاملتر‬ ‫یا‬ Export‫شکل‬ ‫نماییم‬ ‫استفاده‬3.  [admin@MikroTik] ip address add address=192.168.1.2/24 interface=ether2 [admin@MikroTik] ip address add address=172.16.0.1 /24 interface=ether1 [admin@MikroTik] ip address print ‫شکل‬3
  8. 8. Default Gateway ‫اکنون‬IP‫ما‬ ‫های‬add‫اند‬ ‫شده‬.‫یک‬ ‫اینکه‬ ‫برای‬default gateway‫یک‬ ‫باید‬ ‫کنیم‬ ‫مشخص‬ ‫روتر‬ ‫برای‬ static route‫بنویسیم‬ ‫آن‬ ‫برای‬.‫کار‬ ‫این‬ ‫برای‬command‫را‬ ‫نتایج‬ ‫و‬ ‫کرده‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫های‬ ‫شکل‬ ‫کنیم‬ ‫می‬ ‫مشاهده‬‫پایین‬:  [admin@MikroTik] ip route add gateway=192.168.1.1 [admin@MikroTik] ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf #DST-ADDRESS G GATEWAY DISTANCE INTERFACE  0A S 0.0.0.0/0 192.168.1.1  1ADC 192.168.1.0/24 192.168.1.2 ether2 2ADC 172.16.1.0/24 172.16.1.1 ether1
  9. 9. Test to Connect To internet ‫یک‬ ‫میتوانیم‬ ‫آن‬ ‫تست‬ ‫برای‬ ‫باشد‬ ‫می‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫ما‬ ‫روتر‬ ‫اکنون‬IP‫داخل‬ ‫را‬ ‫اینترنت‬Ping‫کنیم‬:  [admin@MikroTik] ping 4.2.2.4 4.2.2.164 byte ping: ttl= 237time= 256ms 4.2.2.164 byte ping: ttl= 237time= 413ms 4.2.2.164 byte ping: ttl= 237time= 311ms 4.2.2.164 byte ping: ttl= 237time= 283ms 5packets transmitted, 4packets received, 20% packet loss
  10. 10. ‫در‬‫روتر‬ NAT ‫تنظیم‬ :‫در‬ ‫معتبر‬ ‫و‬ ‫خارجی‬ ‫آدرس‬ ‫یک‬ ‫به‬ ‫داخلی‬ ‫شبکه‬ ‫های‬ ‫آدرس‬ ‫خواهیم‬ ‫می‬ ‫فقط‬ ‫ما‬ ‫اینجا‬ ‫در‬ ‫شود‬ ‫ترجمه‬ ‫اینترنت‬.‫از‬ ‫باید‬ ‫پس‬srcnat‫کنیم‬ ‫استفاده‬.‫از‬ ‫توان‬ ‫می‬ ‫هم‬ ‫که‬masquerade ‫از‬ ‫توان‬ ‫می‬ ‫هم‬ ‫کرد‬ ‫استفاده‬srcnat‫فیلد‬ ‫طریق‬ ‫از‬ ‫داخلی‬ ‫شبکه‬ ‫آدرس‬ ‫کردن‬ ‫وارد‬ ‫همراه‬ ‫به‬ to-address‫کرد‬ ‫استفاده‬.‫داد‬ ‫خواهیم‬ ‫توضیح‬ ‫را‬ ‫روش‬ ‫دو‬ ‫هر‬ ‫اینجا‬ ‫ما‬. Masquerade:‫ترتیب‬ ‫به‬ ‫که‬ ‫کنیم‬ ‫مشخص‬ ‫را‬ ‫خروجی‬ ‫اینترفیس‬ ‫است‬ ‫کافی‬ ‫فقط‬ ‫حالت‬ ‫این‬ ‫در‬ ‫کنیم‬ ‫می‬ ‫عمل‬ ‫زیر‬: /ip firewall nat add chain=srcnat action=masquerade out-interface=ether2 ‫کلیه‬ ‫ترتیب‬ ‫این‬ ‫به‬IP‫روتر‬ ‫اگر‬ ‫باشند‬ ‫که‬ ‫اینترفیسی‬ ‫هر‬ ‫از‬ ‫هستند‬ ‫ما‬ ‫شبکه‬ ‫در‬ ‫که‬ ‫هایی‬ ‫را‬default gateway‫گردند‬ ‫می‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫دهند‬ ‫قرار‬ ‫خود‬(.‫پایین‬ ‫شکل‬)
  11. 11. ‫تنظیم‬NAT‫در‬‫روتر‬ Srcnat:‫چند‬ ‫یا‬ ‫یک‬ ‫ما‬ ‫حالت‬ ‫این‬ ‫در‬IP‫یک‬ ‫به‬ ‫را‬ ‫خاص‬IP‫ولید‬NAT‫کنیم‬ ‫می‬.‫حالت‬ ‫این‬ ‫در‬ ‫داریم‬ ‫خود‬ ‫شبکه‬ ‫روی‬ ‫بیشتری‬ ‫کنترل‬ ‫و‬ ‫امنیت‬.  /ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=src-nat to-addresses=192.168.1.2 ‫با‬ ‫کامپیوتر‬ ‫هر‬ ‫فوق‬ ‫حالت‬ ‫در‬IP‫رنج‬ ‫در‬172.16.0.0255.255.255.0‫و‬default gateway 172.16.0.1‫کند‬ ‫استفاده‬ ‫اینترنت‬ ‫از‬ ‫تواند‬ ‫می‬.‫رنج‬ ‫یک‬ ‫جای‬ ‫به‬ ‫میتوانیم‬ ‫ما‬IP‫یک‬IP‫خاص‬ ‫کنیم‬ ‫انتخاب‬ ‫را‬ ‫ت‬ ‫مخدود‬ ‫رنج‬ ‫یک‬ ‫یا‬(‫شکل‬‫زیر‬).
  12. 12. ‫تنظیمات‬ Filter :‫ر‬‫های‬ ‫ول‬Filter‫شوند‬ ‫ساخته‬ ‫باید‬ ‫ما‬ ‫نیاز‬ ‫به‬ ‫بسته‬.‫خواهیم‬ ‫می‬ ‫که‬ ‫میگیریم‬ ‫فرض‬ ‫فعال‬ ‫ما‬ ‫به‬ ‫تنها‬ ‫ابتدا‬3‫پورت‬ ‫همه‬ ‫برای‬ ‫و‬ ‫بدهیم‬ ‫را‬ ‫اینترنت‬ ‫از‬ ‫استفاده‬ ‫اجازه‬ ‫کامپیوتر‬135‫را‬ ‫ها‬ ‫کامپیوتر‬ ‫کلیه‬ ‫برای‬ ‫و‬ ‫ببندیم‬ping‫پورت‬ ‫و‬ ‫باشد‬ ‫بسته‬telnet‫باشد‬ ‫بسته‬ ‫همه‬ ‫برای‬ ‫روتر‬. ‫پورت‬ ‫بستن‬ ‫قصد‬ ‫ما‬135‫کلیه‬ ‫برای‬IP‫نویسیم‬ ‫می‬ ‫را‬ ‫زیر‬ ‫رول‬ ‫پس‬ ‫داریم‬ ‫را‬ ‫ها‬:  /ip firewall filter add chain=forward dst-port= 135protocol=tcp action=drop ‫پورت‬ ‫این‬ ‫به‬ ‫درخواستها‬ ‫تمام‬ ‫ترتیب‬ ‫این‬ ‫به‬drop‫شوند‬ ‫می‬. ‫که‬ ‫کنیم‬ ‫ایجاد‬ ‫را‬ ‫رولی‬ ‫باید‬ ‫حال‬ping‫است‬ ‫قبل‬ ‫رول‬ ‫مانند‬ ‫نیز‬ ‫رول‬ ‫این‬ ‫شود‬ ‫بسته‬:  /ip firewall filter add chain=forward protocol=icmp action=drop ‫پورت‬ ‫بستن‬ ‫بعد‬ ‫رول‬ ‫اما‬ ‫و‬telnet‫روتر‬ ‫به‬: ‫باید‬ ‫حالت‬ ‫این‬ ‫در‬chain‫را‬input‫روتر‬ ‫مقصد‬ ‫به‬ ‫ورودی‬ ‫های‬ ‫پکت‬ ‫تمام‬ ‫معنی‬ ‫به‬ ‫دهیم‬ ‫قرار‬.  /ip firewall filter add chain=input protocol=tcp dst-port= 23action=drop
  13. 13. Accounting ‫تنها‬ ‫خواهیم‬ ‫می‬ ‫ما‬ ‫اکنون‬3‫که‬ ‫پکتی‬ ‫هر‬ ‫باید‬ ‫پس‬ ‫باشند‬ ‫داشته‬ ‫دسترسی‬ ‫اینترنت‬ ‫به‬ ‫کامپیوتر‬ ‫این‬ ‫از‬ ‫و‬ ‫دارد‬ ‫را‬ ‫روتر‬ ‫از‬ ‫عبور‬ ‫قصد‬3‫و‬ ‫شده‬ ‫داده‬ ‫عبور‬ ‫اجازه‬ ‫است‬ ‫شده‬ ‫صادر‬ ‫خاص‬ ‫کامپیوتر‬ ‫دارند‬ ‫را‬ ‫روتر‬ ‫از‬ ‫عبور‬ ‫قصد‬ ‫که‬ ‫ها‬ ‫پکت‬ ‫بقیه‬drop‫شوند‬.‫رول‬ ‫سپس‬ ‫دسترسی‬ ‫های‬ ‫رول‬ ‫باید‬ ‫اول‬ ‫پس‬ ‫شود‬ ‫نوشته‬ ‫بقیه‬ ‫دسترسی‬ ‫عدم‬.‫در‬filtering‫از‬ ‫ترتیب‬ ‫به‬ ‫روتر‬ ‫چون‬ ‫است‬ ‫مهم‬ ‫بسیار‬ ‫ها‬ ‫رول‬ ‫ترتیب‬ ‫کند‬ ‫می‬ ‫عمل‬ ‫و‬ ‫خوانده‬ ‫را‬ ‫ها‬ ‫رول‬ ‫پائین‬ ‫به‬ ‫باال‬( .‫شکل‬‫زیر‬)  /ip firewall filter add chain=forward src-address= 172.16.0.2action=accept /ip firewall filter add chain=forward src-address= 172.16.0.3action=accept /ip firewall filter add chain=forward src-address= 172.16.0.4action=accept /ip firewall filter add chain=forward src-address= 172.16.0.0/16action=drop
  14. 14. ‫پایان‬ ‫سه‬ ‫دسترسی‬ ‫باال‬ ‫های‬ ‫رول‬ ‫با‬ ‫ما‬IP‫دیگر‬ ‫های‬ ‫پکت‬ ‫کلیه‬ ‫دسترسی‬ ‫و‬ ‫باز‬ ‫را‬ ‫ایم‬ ‫کرده‬ ‫محدود‬ ‫را‬.‫است‬ ‫رسیده‬ ‫پایان‬ ‫به‬ ‫ما‬ ‫تنظیمات‬ ‫اکنون‬.‫روتر‬ ‫یه‬ ‫ما‬ ‫یک‬ ‫ما‬ ‫روتر‬ ‫روی‬ ‫دارد‬ ‫قرار‬ ‫ما‬ ‫خارجی‬ ‫و‬ ‫داخلی‬ ‫شبکه‬ ‫میان‬ ‫که‬ ‫داریم‬IP ‫رنج‬ ‫یک‬ ‫به‬ ‫ولید‬IP‫اینولید‬NAT‫است‬ ‫شده‬.‫وسیله‬ ‫به‬ ‫روتر‬ ‫روی‬ ‫ما‬packet filtering‫کنیم‬ ‫می‬ ‫حفاظت‬ ‫روتر‬ ‫و‬ ‫خود‬ ‫داخلی‬ ‫شبکه‬ ‫از‬.‫را‬ ‫امکان‬ ‫این‬ ‫و‬ ‫شکل‬ ‫کنیم‬ ‫کنترل‬ ‫اینترنت‬ ‫به‬ ‫را‬ ‫های‬ ‫کالینت‬ ‫دسترسی‬ ‫که‬ ‫داریم‬‫نمای‬ ‫زیر‬ ‫میدهد‬ ‫نمایش‬ ‫را‬ ‫شده‬ ‫تنظیم‬ ‫فایروال‬ ‫کامل‬.

×