آموزش تصویری اتصال سیستمهای یک شبکه به اینترنت با استفاده از فایروال میکروتیک

750سری

بهمراه یک مثال عملی و واقعیپیشنهاد شده برای استفاده در کافی نت ها و شبکه

ارائه دهنده: عباس پیرنظریانهای کوچک و متوسطکارشناس شبکه و سخت افزار پژوهشگاه علوم و فرهنگ

اسالمیpirnazarian@isca.ac.ir

مقدمه : میکروتیک چیست ؟

میکروتیک یک شرکت در کشورLATVIA کار خود را با 1995 ) یک کشور نسبتا کوچک در اروپای شرقی ( است که در سال نام . میکروتیک را ارائه کرد Mikrotik Router OSفروش روتر های وایرلس شروع و در پی توسعه کار خود سیستم عامل

ساخته شده است، میکروتیک هم قابلیت نصب بر روی رایانه های لینوکس است که با استفاده از هسته مسیریابی سیستم عامل ۱۱/۸۰۲خانگی را دارد و همچنین به صورت بسته نرم افزاری-سخت افزاری ارائه شده است. همزمان با شکل گیری استانداردهای

لینوکس kernel یک سرور مبتنی بر MikroTikو توسعه سخت افزاری این سیستم عامل قابلیت بی سیم نیز به آن افزوده شد. این است MikroTikاست که بر روی یک رایانه معمولی قابل نصب و سرویس دهی به صورت کامال پایدار است. از ویژگی های

انجام می پذیرد و به همین دلیل 3 و ... بر روی الیه NAT , Bandwidth Manager , Filteringکه اکثر سرویسهای آن مانند سیستم تاثیر دارد. این امر به performanceنیازی به الیه های باالتر ندارد که این خود مقدار قابل توجهی در باال بردن کیفیت و

مگابایت فضای رم مقدار 64 با Pentium 3 معمولی به عنوان مثال یک کامپیوتر pcما این امکان را می دهد که بر روی یک روی آنها انجام دهیم.Filltering و NATزیادی پهنای باند را رد کرده و اعمالی مثل

در واقعMikroTik از pc های ما یک router کارآمد می سازد و این امکان را به ما می دهد که به آسانی بر روی آن پورتهای همانند یک روتر قوی از MikroTik پایداری و ثبات آن است. MikroTikمختلف را اضافه و کم کنیم. یکی دیگر از ویژگی های

SSH و Telnet را به وسیله MikroTikسرعت بوت باال و عملکرد خودکار برخوردار می باشد.عالوه بر دسترسی محلی می توان تنظیم کرد. دیگر قابلیت قابل توجه Winbox به نام MikroTik داخلی آن و رابط ویندوزی ارائه شده به همراه Web serverو

MikroTik .سرعت نصب و سرعت تنظیمات آن است MikroTik در عرض چند دقیقه نصب و براحتی تنظیم میشود و این قابلیت به صرفه بودن آن نسبت به نمونه MikroTik کرد. دیگر نقطه قوت Export و Importدر آن وجود دارد که بتوان تنظیمات آن را

و یک سرور با قدرتی متناسب با کار ما میتوانیم کارایی گرانفیمت RouterOsهای مشابه سخت افزاری است. با خرید یک عدد ترین سخت افزارهارا با چندین برابر هزینه کمتر داشته باشیم.

Router OS

یک سیستم عامل بر پایه لینوکس است که میتواند بر روی سیستم های معمولی نصب و به کارگیری شود و در آن : وجود Wireless ، یک فایروال قوی ، کنترل پهنای باند ، هات اسپات و قابلیت VPNقابلیتهای بسیار خوبی از جمله

دارد . برای استفاده از این نرم افزار باید الیسنس آن را خریداری نمایید که با توجه به امکانات آن رده بندی متفاوتی دارند .

( برای این سیستم GUI برای آن طراحی گردیده است یک رابط کاربری گرافیکی )Winboxنرم افزاری به نام عامل است و توسط آن انواع تنظیمات را میتوانید بر روی این سیستم عامل انجام دهید. راه های ارتباطی متفاوتی

این دستگاه جزو مسیریاب های قوی ( ( FTP , Telnet , SSHبرای ارتباط با ای نرم افزار وجود دارد از جمله می باشد و دارای قابلیت های منحصر به فرد می باشد. از سیس�کوارائه شده و همرده مسیریاب های شرکت

بی سیم دیوار� آتش مس�یریابی�قابلیت های میکروتیک می توان به موارد زیر اشاره کرد: ۶ نسخه آی پی پشتیبانی از میزبان نماینده و برگردان نشانی� شبکه پروتکل پیکربندی پویای م�یزبان

توضیحات محصNول

مدل : RB750G روترRB750G شرکت میکروتیک یک روتر باصرفه ساخته شده به منظور استفاده در مگابیت بر ثانیه به همراه جعبه ۱۰/۱۰۰/۱۰۰۰ پورت اترنت با سرعت ۵شرکت های متوسط که با داشتن

پورت گیگابیت انتقال و ۵ با توجه به داشتن RB750Gداخلی پالستیکی و منبع تغذیه می باشد . روتر مسیریابی اطالعات را در سرعت باال برای کاربر خود به ارمغان می آورد. بدیهی است این روتر با توجه

میکروتیک امکانات بسیار زیادی را به مدیر شبکه خود می دهد. این دستگاه با ۴به داشتن الیسنس نسل میکروتیک یکی از ۴توجه به اندازه کوچک و طراحی انعطاف پذیر و امکانات بیشمار سیستم عامل نسل

مقرون به صرفه ترین ها در کالس کاری خود در دنیا می باشد و با توجه به ظاهر و قدرت و امکانات محسوب می گردد.Rb750خود نسل پیشرفته و گزینه قوی تر از روتر

خالصه امکانات دستگاهRB750Gشرکت میکروتیک به شرح زیر می باشد

: عدد۵ مگابایت� پورت های شبکه : 32 مگاهرتز ظرفیت حافظه رم : 600سرعت پردازنده

: مگابیت نرم افزار راه انداز دستگاه : ۱۰/۱۰۰/۱۰۰۰سرعت انتقال اطالعات پورت ها RouterBOOT

( وایرلسonboard( دارد وایرلس :)Mini Pci ندارد پورت سریال : ندارد الیسنس میکروتیک : سطح :)۴

: ۷۰- تا ۳۰ گرم دمای کاری : ۱۲۹ ولت وزن : ۲۴منبغ تغذیه+

: میلیمتر۲۸ * ۸۹ * ۱۱۳اندازه

محتویات داخل جعبه دستگاه : روتر . جعبه پالستیکی . منبع تغذیه

آموزش تصویری و تنظیمات اولیه :دیاگرام شبکه ای که می خواهیم به کمک فایروال میکروتیک به

اینترنت متصل نماییم :

MikroTik تنظیمات

اختصاصIP address:به پورت های میکروتیک به یک مودم MikroTik متصل بوده و از طریق 2 را در نظر می گیریم که به یک سوییچ الیه LAN ما یک

ADSL متصل و از همین طریق به اینترنت متصل است. فرض می کنیم که IP ADSL 192.168.1.1 ما تعریف شده بر روی پورت IP بنابر این 255.255.255.0 172.16.1.0 شبکه داخلی ما IP و 255.255.255.0

تعریف شده بر روی پورت IP و 255.255.255.0 192.168.1.2 میکروتیک یا شبکه خارجی ما ما 2شماره 192.168.1.1 ما default gateway و 255.255.255.0 172.16.0.1 میکروتیک یا شبکه داخلی ما 1شماره

می شود. برای انجام دادن تنظیمات روتر ابتدا باید به آن

که نرم افزار اختصاصی winboxتوسط نرم افزار کنیم. برای اینکار ابتدا روتر loginمی باشد به روتر

به کارت شبکه یک رایانه متصل RJ45را با کابل از 1 مطابق شکل Winboxنموده و توسط نرم افزار

شناسایی می شود . Mac Addresطریق Username و password روتر به صورت پیش

)خالی( است. یوزر و blank با پسورد adminفرض پسورد را وارد می کنیم و وارد میشویم. مطابق شکل

روبرو

ادامه تنظیمات

ابتدا بایدIP ها را وارد و تنظیم کنیم. برای اینکار از طریق خط فرمان نرم افزار New Terminal می توانیم دستورات های زیر را وارد کنیم یا مانند شکل پایین

از رابط گرافیکی استفاده کنیم و برای دیدن تنظیمات انجام شده در هر قسمت .3 استفاده نماییم شکل Export یا کاملتر آن Printمی توانیم از دستور

[admin@MikroTik] ip address add address=192.168.1.2/24 interface=ether2[admin@MikroTik] ip address add address=172.16.0.1 /24 interface=ether1[admin@MikroTik] ip address print

3 شکل

Default Gateway اکنونIP های ما add شده اند. برای اینکه یک default gateway برای روتر مشخ�ص کنیم باید یک static route برای آن

های زیر را وارد کرده و نتایج را مشاهده می کنیم شکل پایین:commandبنویسیم. برای این کار

[admin@MikroTik] ip route add gateway=192.168.1.1[admin@MikroTik] ip route printFlags: X - disabled, A - active, D - dynamic,C - connect, S - static, r - rip, b - bgp, o - ospf# DST-ADDRESS G GATEWAY DISTANCE INTERFACE

0 A S 0.0.0.0/0 192.168.1.1 1 ADC 192.168.1.0/24 192.168.1.2 ether2

2 ADC 172.16.1.0/24 172.16.1.1 ether1

Test to Connect To internet

اکنون روتر ما به اینترنت متصل می باشد برای تست آن میتوانیم یکIP داخل اینترنت را Ping : کنیم

[admin@MikroTik] ping 4.2.2.44.2.2.1 64 byte ping: ttl=237 time=256 ms4.2.2.1 64 byte ping: ttl=237 time=413 ms4.2.2.1 64 byte ping: ttl=237 time=311 ms4.2.2.1 64 byte ping: ttl=237 time=283 ms5 packets transmitted, 4 packets received, 20% packet loss

روتر در NAT تنظیم در اینجا ما فقط می خواهیم آدرس های شبکه داخلی به یک آدرس خارجی و معتبر در اینترنت ترجمه شود. پس باید از :srcnat

به همراه وارد کردن آدرس شبکه داخلی از srcnat استفاده کرد هم می توان از masqueradeاستفاده کنیم. که هم می توان از استفاده کرد. ما اینجا هر دو روش را توضیح خواهیم داد.to-addressطریق فیلد

Masquerade: :در این حالت فقط کافی است اینترفیس خروجی را مشخص کنیم که به ترتیب زیر عمل می کنیم

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether2

به این ترتیب کلیهIP هایی که در شبکه ما هستند از هر اینترفیسی که باشند اگر روتر را default gateway خود قرار دهند به اینترنت متصل می گردند .)شکل پایین(

روتر درNAT تنظیمSrcnat در این حالت ما یک یا چند: IP خاص را به یک IP ولید NAT.می کنیم. در این حالت امنیت و کنترل بیشتری روی شبکه خود داریم

/ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=src-nat to-addresses=192.168.1.2

در حالت فوق هر کامپیوتر باIP و 255.255.255.0 172.16.0.0 در رنج default gateway 172.16.0.1 می تواند از اینتر�نت استفاده خاص یا یک رنج مخدود ت را انتخاب کنیم )شکل زیر( .IP یک IPکند. ما میتوانیم به جای یک رنج

کامپیوتر اجازه استفاده از 3 بسته به نیاز ما باید ساخته شوند . ما فعال فرض میگیریم که می خواهیم ابتدا تنها به Filterول های :رFilter تنظیمات روتر برای همه بسته باشد. telnet بسته باشد و پورت ping را ببندیم و برای کلیه کامپیوتر ها 135اینترنت را بدهیم و برای همه پورت

ها را داریم پس رول زیر را می نویسیم:IP برای کلیه 135ما قصد بستن پورت /ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop

به این ترتیب تمام درخواستها به این پورتdrop.می شوند بسته شود این رول نیز مانند رول قبل است:pingحال باید رولی را ایجاد کنیم که

/ip firewall filter add chain=forward protocol=icmp action=drop و اما رول بعد بستن پورتtelnet:به روتر

قرار دهیم به معنی تمام پکت های ورودی به مقصد روتر.input را chainدر این حالت باید /ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop

Accounting 3 کامپیوتر به اینترنت دسترسی داشته باشند پس باید هر پکتی که قصد عبور از روتر را دارد و از این 3اکنون ما می خواهیم تنها

شوند. پس اول باید رول های dropکامپیوتر خاص صادر شده است اجازه عبور داده شده و بقیه پکت ها که قصد عبور از روتر را دارند ترتیب رول ها بسیار مهم است چون روتر به ترتیب از باال به پائین filteringدسترسی سپس رول عدم دسترسی بقیه نوشته شود. در

رول ها را خوانده و عمل می کند. )شکل زیر( /ip firewall filter add chain=forward src-address=172.16.0.2 action=accept

/ip firewall filter add chain=forward src-address=172.16.0.3 action=accept/ip firewall filter add chain=forward src-address=172.16.0.4 action=accept/ip firewall filter add chain=forward src-address=172.16.0.0/16 action=drop

پایان ما با رول های باال دسترسی سهIP را باز و دسترسی کلیه پکت های دیگر را محدود کرده ایم.اکنون تنظیمات ما به

ولید به یک رنج IPپایان رسیده است. ما یه روتر داریم که میان شبکه داخلی و خارجی ما قرار دارد روی روتر ما یک IP اینولید NAT شده است. ما روی روتر به وسیله packet filtering .از شبکه داخلی خود و روتر حفاظت می کنیم

و این امکان را داریم که دسترسی کالینت های را به اینترنت کنترل کنیم شکل زیر نمای کامل فایروال تنظیم شده را نمایش میدهد.