جهان ارتباطات نکا

نکاتلکام ارائه خدمات اپراتوری و پرداخت الکترونیک
صفحه اصلی مقالات آموزش تنظیم و راه‌اندازی فایروال میکروتیک
تنظیم و راه‌اندازی فایروال میکروتیک

دسته‌بندی‌ها

آموزش

آخرین تاریخ بروزرسانی

07 مرداد 1404

زمان مورد نیاز

برای مطالعـــه

دقیقه

آموزش تنظیم و راه‌اندازی فایروال میکروتیک

فایروال میکروتیک یکی از قوی‌ترین ابزارهای امنیتی برای شبکه‌های کوچک و بزرگ است که با قیمت مناسب و انعطاف‌پذیری بالا توانسته جایگاه ویژه‌ای در میان مدیران شبکه ایرانی پیدا کند. اگر شما هم به دنبال راه‌اندازی یک فایروال حرفه‌ای روی روترهای میکروتیک هستید، این مطلب راهکاری خلاصه برای ارائه تمام نکات کلیدی مثل تنظیمات اولیه و قوانین پیشرفته فیلتر NAT و Mangle است.

 

بررسی و مقایسه روترهای میکروتیک

 

آیا فایروال میکروتیک واقعاً ضروری است؟

از آنجایی که حملات سایبری پیچیده‌تر می‌شوند، حفظ امنیت شبکه نه یک انتخاب که یک ضرورت انکارناپذیر است و به همین خاطر نیز فایروال میکروتیک به شما این امکان را می‌دهد که ترافیک ورودی و خروجی شبکه را با دقت کنترل کنید از دسترسی‌های غیرمجاز جلوگیری نمایید و حتی پهنای باند را بهینه مدیریت کنید.

تنظیمات اولیه فایروال در میکروتیک از طریق Winbox یا رابط وب انجام می‌شود. قبل از هر چیز باید مطمئن شوید که بسته firewall در سیستم شما فعال است. برای بررسی این موضوع می‌توانید از مسیر IP → Firewall در Winbox اقدام کنید.

قوانین پیش‌فرض میکروتیک چیست؟

میکروتیک برخی قوانین پیش‌فرض را هنگام نصب RouterOS اعمال می‌کند که عموماً شامل موارد زیر است:

  • اجازه به اتصالات established و related
  • بلاک کردن ترافیک غیرمجاز ورودی از اینترنت
  • مدیریت ترافیک ICMP پینگ

اما این قوانین برای همه محیط‌ها کافی نیستند. بهتر است با توجه به نیازهای شبکه خود این قوانین را بازبینی کنید. برای مشاهده قوانین پیش‌فرض می‌توانید از دستور زیر استفاده نمایید:

/ip firewall export

ایجاد اولین قانون فایروال میکروتیک

برای اضافه کردن یک قانون جدید در فایروال میکروتیک مراحل زیر را دنبال کنید:

  1. به مسیر IP → Firewall → Filter Rules بروید
  2. روی دکمه + کلیک کنید
  3. زنجیره مورد نظر را انتخاب نمایید مثلاً input برای ترافیک ورودی به روتر
  4. عمل مورد نظر را تعیین کنید accept, drop یا reject
  5. در صورت نیاز پروتکل آدرس مبدأ/مقصد و پورت‌ها را مشخص نمایید
  6. روی OK کلیک کنید

مثال کاربردی برای اجازه دادن به ترافیک SSH فقط از یک شبکه خاص:

/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 action=accept

بلاک کردن دسترسی به وب‌سایت‌ها در فایروال میکروتیک

برای بلاک کردن دسترسی به وبسایت‌های خاص در میکروتیک چند روش وجود دارد:

روش 1: بلاک بر اساس آدرس IP

/ip firewall filter add chain=forward dst-address=1.2.3.4 action=drop

روش 2: بلاک بر اساس محتوا

/ip firewall filter add chain=forward protocol=tcp dst-port=80 content="example.com" action=drop

روش 3: استفاده از DNS فیلترینگ

/ip dns static add name="example.com" address=0.0.0.0

نکته مهم: برای بلاک کردن سایت‌های HTTPS پورت 443 نیاز به تنظیمات پیشرفته‌تر مثل SSL Inspection دارید که ممکن است نیاز به گواهی SSL داشته باشد.

مثال کاربردی برای ماسک‌سازی آدرس‌های داخلی SNAT:

/ip firewall nat add chain=srcnat action=masquerade out-interface=WAN

Mangle Rules فقط برای علامت‌گذاری نیست

اگر فکر می‌کنید قوانین Mangle صرفاً برای علامت‌گذاری بسته‌ها استفاده می‌شوند باید بگویم این دیدگاه ناقص است. قوانین Mangle در میکروتیک قدرت فوق‌العاده‌ای برای مدیریت ترافیک شبکه ارائه می‌کنند. از جمله کاربردهای پیشرفته Mangle می‌توان به موارد زیر اشاره کرد:

  • علامت‌گذاری بسته‌ها برای QoS تضمین کیفیت سرویس
  • تغییر مسیر ترافیک خاص به VPN
  • تقسیم ترافیک اینترنت بین چند اتصال
  • مدیریت پهنای باند بر اساس پروتکل یا کاربر

مثال کاربردی برای علامت‌گذاری ترافیک HTTP:

/ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-packet new-packet-mark=http-traffic passthrough=yes

چرا ترتیب قوانین فایروال بسیار مهم است؟

یکی از رایج‌ترین اشتباهات در تنظیم فایروال میکروتیک بی‌توجهی به ترتیب اجرای قوانین است. فایروال میکروتیک قوانین را به ترتیب از بالا به پایین پردازش می‌کند و با اولین تطابق اجرای قانون متوقف می‌شود. بنابراین:

  1. قوانین خاص و دقیق باید در بالای لیست قرار بگیرند
  2. قوانین عمومی و کلی باید در پایین لیست باشند
  3. حتماً در انتهای لیست یک قانون برای drop کردن ترافیک غیرمجاز اضافه کنید

برای تغییر ترتیب قوانین می‌توانید از دکمه‌های Move Up/Down در Winbox یا دستورهای عددی در ترمینال استفاده نمایید.

فیلتر rules در میکروتیک چطور کار می‌کند؟

قوانین فیلتر Filter Rules قلب تپنده‌ی فایروال میکروتیک محسوب می‌شوند و این قوانین تعیین می‌کنند که کدام بسته‌های شبکه اجازه عبور دارند و کدام یک باید مسدود شوند. برای ایجاد یک قانون فیلتر مؤثر باید چند عنصر کلیدی را در نظر بگیرید:

  • زنجیره Chain: تعیین می‌کند قانون به کدام جهت ترافیک اعمال شود (ورودی یا خروجی)
  • پروتکل: نوع ترافیک TCP, UDP, ICMP و غیره
  • آدرس مبدأ و مقصد
  • پورت‌های مبدأ و مقصد
  • عمل Action: پذیرش، رد یا drop کردن یک پکت

مثال کاربردی: اگر می‌خواهید دسترسی به پورت 3389 Remote Desktop از اینترنت به داخل شبکه را مسدود کنید می‌توانید قانون زیر را ایجاد نمایید:

/ip firewall filter add chain=input protocol=tcp dst-port=3389 action=drop

درک لیست قوانین فیلتر فایروال

وقتی برای اولین بار به بخش فایروال میکروتیک سر می‌زنید ممکن است با لیست بلندبالای قوانین فیلتر کمی گیج‌کننده به نظر برسد ولی جای نگرانی نیست و این لیست در واقع نقشه راه امنیت شبکه شما است. هر قانون در این لیست چند المان کلیدی دارد که باید با آن‌ها آشنا شوید:

  • زنجیره یا Chain: مشخص می‌کند قانون به کدام مسیر ترافیک اعمال می‌شود
  • عمل یا Action: تعیین می‌کند با بسته‌های مطابق چه رفتاری شود پذیرش حذف یا رد
  • پروتکل: نوع ترافیک شبکه که قانون برای آن اعمال می‌شود
  • وضعیت اتصال Connection State: برای مدیریت اتصالات جدید یا موجود

برای مشاهده لیست قوانین موجود می‌توانید از مسیر IP → Firewall → Filter Rules در Winbox اقدام کنید یا از دستور زیر در ترمینال استفاده نمایید:

/ip firewall filter print

زنجیره‌های فایروال چیست؟

در حالی که سه زنجیره اصلی input, output, forward بیشترین استفاده را دارند میکروتیک زنجیره‌های دیگری هم ارائه می‌دهد که برای سناریوهای خاص بسیار کاربردی هستند:

  1. زنجیره پیش‌رو Prerouting: برای اعمال تغییرات قبل از مسیریابی
  2. زنجیره پس‌رو Postrouting: برای اعمال تغییرات بعد از مسیریابی
  3. زنجیره Hotspot: مخصوص مدیریت ترافیک هات‌اسپات
  4. زنجیره VLAN: برای فیلتر کردن ترافیک VLAN

مثال کاربردی برای بلاک کردن ترافیک از یک اینترفیس خاص:

/ip firewall filter add chain=input in-interface=ether action=drop

NAT Rules چه تفاوتی با فیلتر rules دارد؟

قوانین NAT ترجمه آدرس شبکه در میکروتیک عملکردی کاملاً متفاوت از فیلتر rules دارند. در حالی که فیلتر rules به امنیت شبکه مربوط می‌شوند NAT بیشتر برای مدیریت آدرس‌های IP و مسیریابی استفاده می‌شود. دو نوع اصلی NAT در میکروتیک وجود دارد:

  1. Source NAT SNAT: برای تغییر آدرس مبدأ بسته‌ها استفاده می‌شود مثلاً وقتی چند کاربر از یک آدرس IP عمومی برای دسترسی به اینترنت استفاده می‌کنند
  2. Destination NAT DNAT: برای تغییر آدرس مقصد بسته‌ها کاربرد دارد مثلاً وقتی می‌خواهید یک سرویس داخلی را از طریق اینترنت در دسترس قرار دهید

نتیجه‌گیری

در این مقاله آموزش کلی و سرفصل‌های مربوط به تنظیم صحیح فایروال میکروتیک ارائه شد می‌تواند تفاوت بین یک شبکه امن و یک شبکه آسیب‌پذیر را ایجاد کند؛ با درک صحیح از سه بخش اصلی فیلتر rules NAT rules و Mangle rules شما این قدرت را دارید که ترافیک شبکه را دقیقاً مطابق نیازهای سازمان خود مدیریت کنید. یادتان باشد که امنیت شبکه یک فرآیند مستمر است نه یک تنظیم یک‌باره. همیشه قوانین فایروال خود را بازبینی و به‌روزرسانی کنید تا در برابر تهدیدات جدید ایمن بمانید.

محصولات مرتبط
مودم میکروتیک مدل wAP LTE Kit
12,200,000 تومان
مودم میکروتیک hAP ax lite LTE6
ناموجود
میکروتیک مدل hAP ax lite روتر اکسس پوینت
5,350,000 تومان
روتر mikrotik mAP 2n
4,750,000 تومان
روتر میکروتیک مدل mAP lite
3,350,000 تومان

مطالب مرتبط

جدیدترین اخبار و مقالات تخصصی
نظرات کاربران