ﻓﯿﻠﺘﺮﯾﻨﮓ و ﺗﻨﻈﯿﻤﺎت آن در روﺗﺮ
ﻓﯿﻠﺘﺮﯾﻨﮓ و ﺗﻨﻈﯿﻤﺎت آن در روﺗﺮ
Filtering:
ﯾﮑﯽ دﯾﮕﺮ از ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻓﺎﯾﺮوال اﯾﺠﺎد ﻓﯿﻠﺘﺮﯾﻨﮓ اﺳﺖ.
در ﻓﯿﻠﺘﺮﯾﻨﮓ ﭘﮑﺖ ﻫﺎﯾﯽ ﮐﻪ از روﺗﺮ ﻋﺒﻮر ﻣﯽ ﮐﻨﻨﺪ ﺗﺤﺖ ﮐﻨﺘﺮل ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ.
و ﺑﺮاﺳﺎس ﻗﻮاﻧﯿﻨﯽ ﮐﻪ ﺑﻪ آﻧﻬﺎ Rule ﮔﻔﺘﻪ ﻣﯽ ﺷﻮد ﻓﯿﻠﺘﺮ ﻣﯽ ﺷﻮﻧﺪ.
قاعده کلی فیلترینگ:
فایروال بر پایه رول های آن بنا شده است، یعنی فایروال و روتر کاری را انجام می دهند که رول ها بگویند.
هر رول از دو قسمت تشکیل شده است:
قسمت اول: ترافیک بسته ها را مشخص می کند (ترافیک ورودی و یا خروجی از میکروتیک)
قسمت دوم: عملیاتی است که بر روی بسته ها انجام می شود.
ﺗﻨﻈﯿﻤﺎت ﻓﯿﻠﺘﺮﯾﻨﮓ در روﺗﺮ:
[admin@Router-1]>ip firewall filter add chain=[input | output | forward] Src-address=[source ip address] action=[drop | accept | reject] Dst-port=[destination port] protocol=[protocol]
ﭘﺎراﻣﺘﺮﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده در Rule ﻫﺎي ﻓﯿﻠﺘﺮﯾﻨﮓ:
Chain:
در اﯾﻦ ﭘﺎراﻣﺘﺮ، ﻣﺴﯿﺮ ﺗﺮاﻓﯿﮏ ﺑﺴﺘﻪ ﻫﺎي ﻣﻮرد ﻧﻈﺮ را ﻣﺸﺨﺺ ﻣﯽ ﮐﻨﯿﻢ
اﯾﻦ ﭘﺎراﻣﺘﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺳﻪ ﺣﺎﻟﺖ را در ﺑﺮ ﮔﯿﺮد:
- Input: اﯾﻦ ﺣﺎﻟﺖ ﻣﺮﺑﻮط ﺑﻪ ﭘﮑﺖ ﻫﺎﯾﯽ اﺳﺖ ﮐﻪ ﻣﻘﺼﺪﺷﺎن ﺧﻮد دﺳﺘﮕﺎه ﻣﯿﮑﺮوﺗﯿﮏ اﺳﺖ.
ﺑﻄﻮر ﻣﺜﺎل:
ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي ICMP ﺑﺮاي Ping ﮐﺮدن روﺗﺮ ﻣﯿﮑﺮوﺗﯿﮏ و ﯾﺎ زﻣﺎﻧﯽ ﮐﻪ ﺷﻤﺎ ﺑﺎ استفاده از Winbox ،SSH و… ﻣﻤﮑﻦ اﺳﺖ ﺑﻪ ﻣﯿﮑﺮوﺗﯿﮏ ﻣﺘﺼﻞ ﺷﻮﯾﺪ
ﺑﻨﺎﺑﺮاﯾﻦ Chain=Input ﻗﺮار می دﻫﯿﻢ.
- Output: اﯾﻦ ﺣﺎﻟﺖ ﻣﺮﺑﻮط ﺑﻪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ اﺳﺖ ﮐﻪ از روﺗﺮ ﻣﯿﮑﺮوﺗﯿﮏ ﺧﺎرج ﻣﯽ ﺷﻮﻧﺪ.
ﺑﻄﻮر ﻣﺜﺎل:
روﺗﺮ ﺳﻌﯽ در اﺗﺼﺎل ﺑﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻫﺎي مثل DNS و NTP و … را داﺷﺘﻪ ﺑﺎﺷﺪ.
- Forward: اﯾﻦ ﺣﺎﻟﺖ ﻣﺮﺑﻮط ﺑﻪ ﺗﺮاﻓﯿﮑﯽ اﺳﺖ ﮐﻪ از روﺗﺮ ﺷﻤﺎ ﻋﺒﻮر ﻣﯽ ﮐﻨﺪ.
ﻓﺮاﯾﻨﺪ ارﺳﺎل ﺑﺴﺘﻪ از ﯾﮏ اینترفیس روﺗﺮ ﺑﻪ اینترفیس دﯾﮕﺮ آن را Forward ﻣﯽ ﮔﻮﯾﻨﺪ.
ﺑﻄﻮر ﻣﺜﺎل:
ﯾﮏ ﺳﯿﺴﺘﻢ داﺧﻠﯽ درﺧﻮاﺳﺖ ﺳﺎﯾﺘﯽ را از اﯾﻨﺘﺮﻧﺖ داﺷﺘﻪ ﺑﺎﺷﺪ و ﭼﻨﺎﻧﭽﻪ روﺗﺮ ﺷﻤﺎ ﻧﻘﺶ Gateway در ﺷﺒﮑﻪ دارد.
روﺗﺮ ﺑﺴﺘﻪ درﺧﻮاﺳﺖ را از اینترفیسی ﮐﻪ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﺮﺗﺒﻂ ﺑﺎﺷﺪ درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ
و ﺑﻪ اینترفیسی ﮐﻪ ﺑﻪ اینترنت متصل اﺳﺖ ارﺳﺎل ﻣﯽ ﮐﻨﺪ.
Action:
در اﯾﻦ ﭘﺎراﻣﺘﺮ ﻋﻤﻠﯿﺎﺗﯽ ﮐﻪ ﺑﺮ روي Packet ﻫﺎ اﻋﻤﺎل ﻣﯽ ﺷﻮد را ﺗﻌﯿﯿﻦ ﻣﯽ ﮐﻨﯿﻢ:
- Accept:
در اﯾﻦ ﺣﺎﻟﺖ ﺑﻪ ﺑﺴﺘﻪ ﻫﺎ اﺟﺎزه ﻋﺒﻮر داده ﻣﯽ ﺷﻮد.
-
Drop:
در اﯾﻦ ﺣﺎﻟﺖ ﺑﻪ ﺑﺴﺘﻪ اﺟﺎزه ﻋﺒﻮر داده ﻧﻤﯽ ﺷﻮد.
ﺑﻪ ﻋﺒﺎرﺗﯽ ﺑﺴﺘﻪ ﻫﺎ ﻣﺘﻮﻗﻒ ﻣﯽ ﺷﻮﻧﺪ و ﻫﯿﭻ ﺟﻮاﺑﯽ ﺑﻪ ﻓﺮﺳﺘﻨﺪه ﺑﺴﺘﻪ ﻫﺎ داده ﻧﻤﯽ ﺷﻮد.
-
Reject:
ﻫﻤﺎﻧﻨﺪ Drop اﺳﺖ ﺑﺎ اﯾﻦ ﺗﻔﺎوت ﮐﻪ ﭘﯿﺎﻣﯽ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺴﺘﻪ ICMP ﻧﯿﺰ ﺑﻪ ﮐﺎرﺑﺮ ﻧﺸﺎن ﻣﯽ دﻫﺪ.
IP : add-dst-to-address-list
Address List ﻫﺎ زﻣﺎﻧﯽ ﺑﻪ ﮐﺎر ﻣﯽ آﯾﻨﺪ ﮐﻪ ﺷﻤﺎ ﺑﺨﻮاﻫﯿﺪ ﺑﺮاي ﺗﻌﺪاد زﯾﺎدي IP ﮐﻪ از ﯾﮏ ﻣﺤﺪوده ﯾﺎ رﻧﺞ ﻧﯿﺴﺘﻨﺪ ﺗﺼﻤﯿﻢ ﺑﮕﯿﺮﯾﺪ.
ﻣﺜﻼ ﻣﯽ ﺧﻮاﻫﯿﻢ ﺳﻪ IP ﺟﺪا را از دﺳﺘﺮﺳﯽ ﺑﻪ وب ﻣﺤﺮوم ﮐﻨﯿﻢ ﺑﺪون اﺳﺘﻔﺎده از Address List ﻫﺎ ﺑﺎﯾﺪ ﺳﻪ رول ﻣﺘﻔﺎوت را ﺑﻨﻮﯾﺴﯿﻢ.
اﮔﺮ اﯾﻦ ﺗﻌﺪاد IP ﻫﺎ 100 ﺗﺎ ﺑﻮد ﭼﻪ اﺗﻔﺎﻗﯽ ﻣﯽ اﻓﺘﺎد؟
ﺑﺮاي راﺣﺘﯽ اﯾﻨﮕﻮﻧﻪ ﻣﻮارد از آدرس ﻟﯿﺴﺖ ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.
ﺑﻪ اﯾﻦ ﻣﻌﻨﯽ ﮐﻪ آدرس ﻫﺎي ﻣﻮرد ﻧﻈﺮ را در ﯾﮏ ﻟﯿﺴﺖ ﻗﺮار داده و ﺑﻪ ازاي آن ﻟﯿﺴﺖ ﯾﮏ رول را ﻣﯽ ﻧﻮﯾﺴﯿﻢ.
در ﺻﻮرﺗﯽ ﮐﻪ ﺧﻮاﺳﺘﻪ ﺑﺎﺷﯿﺪ ﺑﻌﻀﯽ از IP ﻫﺎي ورودي را Log ﮐﻨﯿﺪ
ﻣﺜﻼ ﮐﺴﺎﻧﯽ ﮐﻪ ﺳﻌﯽ ﻣﯽ ﮐﻨﻨﺪ از ﻃﺮﯾﻖ Winbox ﺑﻪ روﺗﺮ وﺻﻞ ﺷﻮﻧﺪ، ﻣﯽ ﺗﻮانید ﺑﻪ ﮐﻤﮏ دو Action ﺑﺎﻻ ﯾﮏ ﻟﯿﺴﺖ آدرس از آﻧﻬﺎ ﺗﻬﯿﻪ ﮐﻨﯿﺪ.
Log:
ﯾﮏ ﺳﺮي اﻃﻼﻋﺎت را ﺑﺮاي ﻣﺎ ذﺧﯿﺮه ﻣﯽ ﮐﻨﺪ ﮐﻪ به کمک اﯾﻦ اﻃﻼﻋﺎت می توان از دو Action بالا، یک لیست آدرس تهیه کرد.
از طریق منوی اصلی، گزینه Log قابل دسترس می باشد.
این اطلاعات شامل موارد زیر است:
- In-interface
- out-interface
- src-mac
- protocol
- src-port
اوﻟﯿﻦ ﺗﻔﺎوت ﻫﻤﯿﻦ اﻃﻼﻋﺎت ﺑﺎﻻ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺎ اﻃﻼﻋﺎت ذﺧﯿﺮه ﺷﺪه ﻗﺒﻞ ﻣﺘﻔﺎوت است
دوم اﯾﻨﮑﻪ ﺷﻤﺎ از ﻟﯿﺴﺖ آدرس ﻫﺎ در رول ﻫﺎي ﺑﻌﺪي ﻣﯽ ﺗﻮاﻧﯿﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ، اﻣﺎ Log ﺻﺮﻓﺎ ﺟﻬﺖ اﻃﻼع ﻣﯽ ﺑﺎﺷﺪ.
Jump:
ﭘﺮش ﺑﻪ زﻧﺠﯿﺮه Chain ﻣﺸﺨﺺ ﺷﺪه اﺳﺖ.
Return:
ﺑﺮﮔﺮداﻧﺪن ﮐﻨﺘﺮل ﺑﻪ زﻧﺠﯿﺮه در ﺟﺎﯾﯽ ﮐﻪ ﭘﺮش ﺻﻮرت ﮔﺮﻓﺘﻪ اﺳﺖ.
Trapit:
ﺿﺒﻂ و ﻧﮕﻬﺪاري ارﺗﺒﺎط TCP (ﮐﺎرﺑﺮد در ﮐﻢ ﮐﺮدن اﺛﺮ ﺣﻤﻼت Dos).
اﯾﻦ Action ﺑﺴﺘﻪ ﻫﺎي TCP را ﻧﮕﻪ ﻣﯿﺪارد و ﺑﻪ آﻧﻬﺎ ﺟﻮاب ﻣﻨﺎﺳﺒﯽ ﻣﯽ دﻫﺪ.
Pass-through:
اﯾﻦ Action ﮐﺎر ﺧﺎﺻﯽ اﻧﺠﺎم ﻧﻤﯽ دﻫﺪ
ﺻﺮﻓﺎ از رول ﺧﺎرج ﻣﯽ ﺷﻮد ﯾﺎ ﺻﺮف ﻧﻈﺮ ﻣﯽ ﮐﻨﺪ.
در ﻧﻈﺮ ﻧﮕﺮﻓﺘﻦ ﻗﺎﻧﻮن و رﻓﺘﻦ ﺑﻪ ﻗﺎﻧﻮن ﺑﻌﺪي (ﮐﺎرﺑﺮد: ﺑﯿﺸﺘﺮ ﺑﺮاي آﻣﺎر ﮔﯿﺮي است)
Src-Address:
ﺑﺮاي ﻣﺸﺨﺺ ﮐﺮدن آدرس ﻓﺮﺳﺘﻨﺪه ﯾﮏ ﺑﺴﺘﻪ، از اﯾﻦ ﭘﺎراﻣﺘﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﻢ.
ﺑﻄﻮر ﻣﺜﺎل:
ﭼﻨﺎﻧﭽﻪ ﺑﺨﻮاﻫﯿﻢ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ ﻓﻘﻂ از ﺳﻤﺖ ﯾﮏ ﺳﯿﺴﺘﻢ ﺧﺎص ﺑﻪ روﺗﺮ ﻣﯽ رﺳﻨﺪ را ﻓﯿﻠﺘﺮ ﮐﻨﯿﻢ.
آدرس IP ﺳﯿﺴﺘﻢ ﻓﺮﺳﺘﻨﺪه را در اﯾﻦ ﭘﺎراﻣﺘﺮ ﻣﺸﺨﺺ ﻣﯽ ﮐﻨﯿﻢ.
ﻧﮑﺘﻪ: ﭼﻨﺎﻧﭽﻪ ﺑﺨﻮاﻫﯿﻢ ﺑﺴﺘﻪ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﺗﻤﺎﻣﯽ ﮐﻼﯾﻨﺖ ﻫﺎي ﻣﻮﺟﻮد در ﺷﺒﮑﻪ ﻣﺒﺪا را ﻓﯿﻠﺘﺮ ﮐﻨﯿﻢ
ﭘﺎراﻣﺘﺮ Src-Address را ﺧﺎﻟﯽ ﻣﯽ ﮔﺬارﯾﻢ.
Dst-Port:
ﺑﺮاي اﻋﻤﺎل ﻓﯿﻠﺘﺮﯾﻨﮓ ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ ﻣﻘﺼﺪ آﻧﻬﺎ ﭘﻮرت ﺧﺎﺻﯽ ﺑﺎﺷﺪ از اﯾﻦ ﭘﺎرﻣﺘﺮ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.
ﻧﮑﺘﻪ: ﭼﻨﺎﻧﭽﻪ در دﺳﺘﻮر ﻓﯿﻠﺘﺮﯾﻨﮓ اﯾﻦ ﭘﺎراﻣﺘﺮ را ذﮐﺮ ﻧﮑﻨﯿﻢ ﮐﻞ ﭘﻮرت ﻫﺎ را در ﻧﻈﺮ می گیرید.
Protocol:
ﺑﺮاي اﻋﻤﺎل ﻓﯿﻠﺘﺮﯾﻨﮓ ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ ﻣﻘﺼﺪ آﻧﻬﺎ ﭘﺮوﺗﮑﻞ ﺧﺎﺻﯽ ﺑﺎﺷﺪ، از اﯾﻦ ﭘﺎراﻣﺘﺮ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.
بطور مثال:
بسته های مربوط به پروتکل ICMP برای Ping کردن
ﺳﻨﺎرﯾﻮ 1:
ﻫﺪف از اﻧﺠﺎم اﯾﻦ ﺳﻨﺎرﯾﻮ ﺑﺮرﺳﯽ ﻣﺜﺎل ﻫﺎﯾﯽ از ﺗﻨﻈﯿﻤﺎت Filtering ﻣﯽ ﺑﺎﺷﺪ.
اﯾﻦ ﺳﻨﺎرﯾﻮ ﻫﻤﺎن ﺳﻨﺎرﯾﻮ Destination NAT ﻣﯽ ﺑﺎﺷﺪ و ﺗﻤﺎﻣﯽ ﺗﻨﻈﯿﻤﺎت ﻫﻤﺎن ﺗﻨﻈﯿﻤﺎت ﻗﺒﻞ است.
ﻓﻘﻂ در ﺳﻨﺎرﯾﻮ Destination NAT ﺷﺒﮑﻪ ﻣﺤﻠﯽ 2-LAN ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ ﻧﺪاﺷﺖ.
ﮐﻪ در اﯾﻦ ﺳﻨﺎرﯾﻮ ﺑﺮ روي روﺗﺮ R3 ،NAT اﯾﺠﺎد ﻣﯽ ﮐﻨﯿﻢ ﺗﺎ 2-LAN ﻧﯿﺰ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ.
ﻧﮑﺘﻪ: ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ در اﯾﻦ ﺳﻨﺎرﯾﻮ روﺗﺮ R2 ﺑﻪ ﻋﻨﻮان اﯾﻨﺘﺮﻧﺖ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه اﺳﺖ.
اﻋﻤﺎل ﻋﻤﻠﯿﺎت NAT ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ ﺑﻪ ﺳﻤﺖ روﺗﺮ R3 ﻣﯽ آﯾﻨﺪ.
ﻣﺜﺎل1:
- ﻫﯿﭻ ﺳﯿﺴﺘﻤﯽ ﻧﺘﻮاﻧﺪ از ﻃﺮﯾﻖ Winbox ﺑﻪ روﺗﺮ R3 ﻣﺘﺼﻞ ﺷﻮد
ﺑﺮاي اﯾﺠﺎد ﻓﯿﻠﺘﺮﯾﻨﮓ از ﻣﻨﻮي اﺻﻠﯽ ﮔﺰﯾﻨﻪ IP و از زﯾﺮ ﻣﻨﻮي ﺑﺎز ﺷﺪه Firewall را اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ
در ﭘﻨﺠﺮه ﺑﺎز ﺷﺪه ﺑﻪ ﺑﺨﺶ Filter Rule رﻓﺘﻪ و ﺑﺮ روي ADD ﮐﻠﯿﮏ ﻣﯽ ﮐﻨﯿﻢ
در ﭘﻨﺠﺮه ﺑﺎز ﺷﺪه ﻓﯿﻠﺘﺮ ﻣﻮرد ﻧﻈﺮ را اﯾﺠﺎد ﻣﯽ ﮐﻨﯿﻢ.
ﺑﺮاي دﯾﺪن ﻟﯿﺴﺖ ﭘﻮرت ﻫﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ از ﻣﻨﻮي اﺻﻠﯽ ﮔﺰﯾﻨﻪ IP و از زﯾﺮ ﻣﻨﻮي ﺑﺎزﺷﺪه Services را اﻧﺘﺨﺎب ﮐﻨﯿﻢ
در ﭘﻨﺠﺮه ﺑﺎز ﺷﺪه ﻟﯿﺴﺖ ﭘﻮرت ﻫﺎ را ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ
ﻣﺜﺎل2:
- ﻫﯿﭻ ﺷﺒﮑﻪ اﯾﯽ ﻧﺘﻮاﻧﺪ ﺑﻪ روﺗﺮ R3 دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ.
Webfig و SSH و Winbox
ﻣﺜﺎل3:
- ﺷﺒﮑﻪ اﯾﯽ ﮐﻪ ﻣﺴﺘﻘﯿﻢ ﺑﻪ روﺗﺮ R3 در ارﺗﺒﺎط اﺳﺖ
(ﯾﻌﻨﯽ 2-LAN) ﺑﺘﻮاﻧﺪ ﺑﺎ Winbox ﺑﻪ روﺗﺮ R3 دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ
اﻣﺎ ﺑﻘﯿﻪ ﺷﺒﮑﻪ ﻫﺎ ﻧﺘﻮاﻧﻨﺪ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
ﻧﮑﺘﻪ: در اﯾﻦ ﻣﺜﺎل ﭼﻮن Not را اﻧﺘﺨﺎب ﮐﺮدﯾﻢ
ﯾﻌﻨﯽ ﻫﻤﻪ ﺷﺒﮑﻪ ﻫﺎ ﺑﺠﺰ ﺷﺒﮑﻪ اﯾﯽ ﮐﻪ در Src-address وارد ﮐﺮدﯾﻢ
ﻧﺘﻮاﻧﻨﺪ از ﻃﺮﯾﻖ Winbox ﺑﻪ روﺗﺮ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ
ﻣﺜﺎل4:
- ﻓﻘﻂ ﯾﮏ ﺳﺮي ﮐﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﮐﻤﮏ Webfig ﺑﻪ روﺗﺮ R3 دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
اﺑﺘﺪا ﯾﮏ آدرس ﻟﯿﺴﺖ از ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﻢ اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ آﻧﻬﺎ ﺑﺪﻫﯿﻢ ایجاد ﻣﯽ ﮐﻨﯿﻢ
ﺳﭙﺲ ﻓﯿﻠﺘﺮﯾﻨﮓ اﻋﻤﺎل ﻣﯽ ﮐﻨﯿﻢ.
ﺑﺮاي اﯾﺠﺎد ﮐﺮدن آدرس ﻟﯿﺴﺖ، از ﻣﻨﻮي اﺻﻠﯽ، ﮔﺰﯾﻨﻪ IP و از زﯾﺮ ﻣﻨﻮي ﺑﺎز ﺷﺪه Firewall را اﻧﺘﺨﺎب می کنیم
و از ﭘﻨﺠﺮه ﺑﺎزﺷﺪه ﺑﻪ ﺑﺨﺶ Address List رﻓﺘﻪ و ﺑﺮ روي ADD ﮐﻠﯿﮏ ﻣﯽ ﮐﻨﯿﻢ.
در ﭘﻨﺠﺮه ﺑﺎز ﺷﺪه ﻫﺮ ﭼﻨﺪ ﮐﺎرﺑﺮ ﮐﻪ ﻣﻮرد ﻧﯿﺎز ﺑﺎﺷﺪ را ﺗﻌﺮﯾﻒ می کنیم. (ﺑﺮاﺳﺎس IP)
دﻟﯿﻞ اﯾﻨﮑﻪ در ﻗﺴﻤﺖ 192.168.10.2 :Address را وارد ﻧﮑﺮدﯾﻢ
اﯾﻦ ﺑﻮد ﮐﻪ اﯾﻦ IP از ﻃﺮﯾﻖ روﺗﺮ R1 ،NAT ﻣﯽ ﺷﻮد
ﺑﻪ ﻫﻤﯿﻦ ﺧﺎﻃﺮ IP: 200.1.1.1 را وارد ﮐﺮدﯾﻢ
قبلا در مورد SrcNAT صحبت کرده بودیم
که روتر Source IP پکت را بر می دارد و Source IP خودش را جایگزین می کند.
در Src-Address List، آدرس ﻟﯿﺴﺘﯽ ﮐﻪ ﺧﻮدﻣﺎن اﯾﺠﺎد ﮐﺮدﯾﻢ را اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ،
و ﮔﺰﯾﻨﻪ Not را ﻧﯿﺰ ﻓﻌﺎل ﻣﯽ ﮐﻨﯿﻢ،
ﺗﺎ ﻓﻘﻂ ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ ﺧﻮدﻣﺎن اﻧﺘﺨﺎب ﮐﺮدﯾﻢ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ Webfig روﺗﺮ R3 دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
ﻣﺜﺎل5:
- ﻣﯿﺨﻮاﻫﯿﻢ روﻟﯽ اﯾﺠﺎد ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﺳﯿﺴﺘﻤﯽ ﻧﺘﻮاﻧﺪ روﺗﺮ R3 را Ping ﮐﻨﺪ.
ﺑﺎ ﺗﻨﻈﯿﻢ اﯾﻦ ﻓﯿﻠﺘﺮﯾﻨﮓ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ ﺑﻪ روﺗﺮ R3 وارد ﻣﯽ ﺷﻮد ping داده ﻧﻤﯽ ﺷﻮد.
در ﻗﺴﻤﺖ Reject With ﭘﯿﺎﻣﯽ ﮐﻪ ﺧﻮدﻣﺎن ﻣﺸﺨﺺ ﮐﺮدﯾﻢ ﻧﺸﺎن داده ﻣﯽ ﺷﻮد.
اﮔﺮ از داﺧﻞ روﺗﺮ ﺑﻪ ﯾﮏ ﺷﺒﮑﻪ دﯾﮕﺮ Ping ﺑﺪﯾﻢ ﭘﯿﺎم Timeout داده ﻣﯽ ﺷﻮد
ﭼﻮن ICMP ﯾﮏ ﭘﯿﺎم دو ﻃﺮفه است ﮐﻪ داراي Send و Receive ﻣﯽ ﺑﺎﺷﺪ.
ﻣﺎ ﻣﯽ ﺧﻮاﻫﯿﻢ ﯾﮏ اﺳﺘﺜﻨﺎء ﻗﺎﺋﻞ ﺷﻮﯾﻢ ﺗﺎ اﮔﺮ از داﺧﻞ روﺗﺮ Ping زدﯾﻢ ﺑﺎز ﺑﺎﺷﺪ
وﻟﯽ از ﻫﺮ ﺷﺒﮑﻪ اﯾﯽ ﺧﻮاستند روﺗﺮ را Ping ﮐﻨﻨﺪ ﺑﺴﺘﻪ ﺑﺎﺷﺪ.
با این تنظیمات زمانی که از داخل روتر به هر شبکه ایی Ping بزنیم بسته ICMP فیلتر نمی باشد.
ﻧﮑﺘﻪ:
در ﺻﻮرﺗﯽ ﮐﻪ ﻫﻨﻮز ﻧﻤﯽ ﺗﻮاﻧﺴﺘﯿﺪ از داﺧﻞ روﺗﺮ Ping ﮐﻨﯿﺪ
از ﭘﻨﺠﺮه Firewall ﺑﻪ ﺑﺨﺶ Connections رﻓﺘﻪ و ﺑﺮ روي Tracking ﮐﻠﯿﮏ ﮐﺮده
و از ﭘﻨﺠﺮه ﺑﺎز ﺷﺪه ﯾﮑﺒﺎر ﺗﯿﮏ ﮔﺰﯾﻨﻪ Enable را ﺑﺮداﺷﺘﻪ Ok می زنیم
و ﺳﭙﺲ ﻣﺠﺪدا ﺗﯿﮏ آن را ﻗﺮار ﻣﯽ دﻫﯿﻢ.
در ﺧﯿﻠﯽ از ﻣﻮارد ﮐﻪ ﻣﺎ ﺑﺎ ﻓﺎﯾﺮوال ﮐﺎر ﻣﯽ ﮐﻨﯿﻢ و ﺑﻪ ﺟﻮاب نمی رسیم ﺑﺎ اﯾﻦ ﮐﺎر ﻣﺸﮑﻞ ﻣﺎ ﺣﻞ ﻣﯽ ﺷﻮد. (ﺑﺮاﺳﺎس ﺗﺠﺮﺑﻪ)
ﻣﺜﺎل6:
- ﻫﯿﭻ ﺳﯿﺴﺘﻤﯽ اﺟﺎزه ارﺗﺒﺎط از ﻃﺮﯾﻖ Telnet ﺑﻪ ﻫﯿﭻ ﻣﻘﺼﺪي را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ.
ﺑﺎ اﯾﻦ ﺗﻨﻈﯿﻢ ﭼﻨﺎﻧﭽﻪ ﺳﯿﺴﺘﻤﯽ ﺑﺨﻮاﻫﺪ ﺑﻪ ﺧﻮد روﺗﺮ Telnet ﺑﺰﻧﺪ، ﻣﺸﮑﻠﯽ وﺟﻮد ﻧﺪارد.
اﻣﺎ ﭼﻨﺎﻧﭽﻪ ﺑﺨﻮاﻫﯿﺪ اﯾﻦ رول را ﻃﻮري ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ ﮐﻪ ﮐﻼﯾﻨﺖ ﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﻪ روﺗﺮ Telnet ﺑﺰﻧﻨﺪ ﺑﺎﯾﺪ Chain=input ﻗﺮار دﻫﯿﺪ.
ﺳﻨﺎرﯾﻮ 2:
ﻫﺪف از اﻧﺠﺎم اﯾﻦ ﺳﻨﺎرﯾﻮ ﺑﺮرﺳﯽ ﻋﻤﻠﯿﺎت Filtering ﻣﯽ ﺑﺎﺷﺪ.
در اﯾﻦ ﺳﻨﺎرﯾﻮ، روﺗﺮ R1 را ﺑﻪ ﮔﻮﻧﻪ اﯾﯽ ﺗﻨﻈﯿﻢ ﻣﯽ ﮐﻨﯿﻢ ﮐﻪ:
1-LAN ﺗﻨﻬﺎ ﺑﻪ وب ﺳﺮور ﻣﻮﺟﻮد در ﺷﺒﮑﻪ اﯾﻨﺘﺮاﻧﺖ،
2-LAN ﺗﻨﻬﺎ ﺑﻪ اﯾﻨﺘﺮﻧﺖ
و 3-LAN ﻫﻢ ﺑﻪ اﯾﻨﺘﺮﻧﺖ و ﻫﻢ ﺑﻪ اﯾﻨﺘﺮاﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
ﺑﺮاي ﭘﯿﺎده ﺳﺎزي اﯾﻦ ﺳﻨﺎرﯾﻮ:
سه سیستم جهت شبیه سازی کلاینت های موجود در هر LAN در نظر گرفته ایم.
یک روتر به عنوان Firewall (این روتر از طریق اینترفیس ether3 به اینترنت دسترسی دارد.)
ﯾﮏ ﺳﺮور 2012 ﺟﻬﺖ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ اﯾﻨﺘﺮاﻧﺖ ﮐﻪ ﺑﺮ روي آن وب ﺳﺮور راه اﻧﺪازي ﺷﺪه اﺳﺖ.
تنظیمات IP برای اینترفیس های روتر R1:
اعمال عملیات NAT بر روی بسته هایی که به سمت روتر R1 می آیند:
تنظیمات جهت عدم دسترسی کلاینت موجود در LAN-1 به اینترنت:
تنظیمات جهت عدم دسترسی کلاینت موجود در LAN-2 به اینترانت:
ﺗﻨﻈﯿﻤﺎت ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﮐﻼﯾﻨﺖ ﻣﻮﺟﻮد در LAN-3 ﺑﻪ اﯾﻨﺘﺮﻧﺖ و اﯾﻨﺘﺮاﻧﺖ:
ﻃﺒﻖ ﻗﺎﻧﻮن ﮔﻔﺘﻪ ﺷﺪه از آﻧﺠﺎ ﮐﻪ ﻣﺤﺪودﯾﺘﯽ ﺑﺮاي ﺗﺮاﻓﯿﮏ ﺑﺴﺘﻪ ﻫﺎي LAN-3 وﺟﻮد ﻧﺪارد
ﻫﯿﭻ ﻓﯿﻠﺘﺮي ﺑﺮاي اﯾﻦ ﻧﻮع ﺗﺮاﻓﯿﮏ ﻫﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ نمی شود.
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار ثبتنام کلاس های انلاین مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.