دخی بلا

مسدود کردن دسترسی از طریق WinBox به میکروتیک

قصد داریم روی فایروال میکروتیک تنظیماتی انجام دهیم که سرویس گیرنده های شبکه خارجی(اینترنت)نتوانند از طریق WinBox با مسیریاب میکروتیک ارتباط برقرار کنند.

سرویس گیرنده های شبکه خارجی از طریق اینترفیس 10.1.1.1 مسیریاب میتوانند با آن ارتباط داشته باشند. پس باید تنظیمات موردنظر را روی این اینترفیس انجام دهیم .

1_ به تنظیمات فایروال میکروتیک وارد شوید.

پس از باز کردن پنجره WinBox از منوی سمت چپ، گزینه IP را انتخاب کنید .از منوی ظاهر شده Firewall را انتخاب کنید.

2 _یک رول جدید ایجاد کنید. 

روی سربرگ Rules Filter کلیک کرده .روی دکمه کلیک کنید

ایجاد رول جدید در فایروال میکروتیک

3_ نوع chain را تعیین کنید.

سربرگ General را انتخاب کنید. مقصد ترافیک، خود میکروتیک است، پس گزینه Input را در مقابل Chain انتخاب کنید.

4 آدرسIP مقصد بسته های سرویسگیرنده های خارجی را تعیین کنید.

سرویس گیرنده های شبکه خارجی از طریق آدرس 10.1.1.1 میتوانند با میکروتیک ارتباط برقرار کنند. پس آدرس مقصد بسته های آنها 10.1.1.1 خواهد بود. مقابل Dst.Address آدرس 10.1.1.1 میکروتیک را وارد کنید.

5_ پروتکل و درگاه مقصد را مشخص کنید.

برنامه WinBox روی پروتکل TCP8291 کار میکند. پس مقابل Protocol ،گزینه TCP و مقابل Port.Dst شماره 8291 را بنویسید.

6 _نوع اقدام فایروال را مشخص کنید.

سربرگ Action را انتخاب کنید. مقابل گزینه Action ،عبارت drop را انتخاب کنید .با انتخاب این Action هر بسته ای که با این رول مطابقت داشته باشد، دور انداخته خواهد شد. این Action به صورتی است که هیچ پیام ICMP مبنی بر حذف بسته به سمت مبدأ ارسال نمیشود. دکمه Apply و سپس OK را بزنید.

7_ صحت عملکرد رول را بررسی کنید.

پس از ایجاد رول باید مطمئن شویم که رول به درستی کار میکند. برای این منظور میتوان از سمت شبکه خارجی اقدام به اتصال به WinBox کرد تا ببینیم فایروال دسترسی سرویس گیرنده خارجی را مسدودمیکند یا خیر . راه دیگر این است که از روی خود رول متوجه شویم که بسته ای با این رول مطابقت داده میشود یا خیر.

در انتهای هر رول فیلدی بهنام Packets وجود دارد که تعداد بسته های مطابقت داده شده با این رول را نشان میدهد. درصورتیکه عددی غیر از صفر در این فیلد باشد به این معنی است که رول ما درست کار میکند.

با تست این رول مشاهده میشود که هیچ سرویس گیرنده ای از سمت شبکه خارجی نمیتواند از طریق WinBox به آدرس IP 10.1.1.1 مسیریاب متصل شود. اما اگر فردی مک آدرس اینترفیس مسیریاب را داشته باشد به راحتی از طریق WinBox به آن متصل میشود.

مسدودسازی دسترسی به WinBox از طریق مک آدرس

رولی که در کارگاه 7 نوشته شد فقط روی آدرس IP و درگاه انجام میشود. پس باید برای مسدود کردن دسترسی به WinBox از طریق مک آدرس هم تنظیمات جداگانهای انجام دهیم.

1_ برنامه WinBox را باز کنید.

2_به پنجره تنظیمات Server MAC وارد شوید.

از منوی سمت چپ گزینه Tools را انتخاب کرده )1 ،)از منوی ظاهر شده گزینه Server MAC را انتخاب کنید.

مسدود کردن دسترسی به وسیله مک آدرس

3_ دسترسی WinBox از طریق Address MAC را مسدود کنید.

در پنجرهMACServer دکمه MACWinBoxServer را انتخاب کنید و در پنجره MACWinBoxServer برای عبارت List Interface Allowed گزینه none را انتخاب کرده دکمه Apply و سپس OK را بزنید.