تنظیمات اولیه برای محافظت از میکروتیک
3846
19 آذر 1396

از سری مطالب آموزش میکروتیک در این بخش با آموزش برخی تنظیمات اولیه برای محافظت از میکروتیک در خدمت شما خواهیم بود تا شما بتوانید با افزودن این سری از کدها در ترمینال و افزوده شدن آنها در فایروال میکروتیک از تعدادی از حملات احتمالی به سمت میکروتیک خود جلوگیری نماید.

نکته حائز اهمیت در این مطلب این است که بدانید ، این تنظیمات بر روی یک روتر میکروتیک به صورت پیش فرض انجام شده است و در این مطلب ما شبکه LAN را با آدرس 192.168.88.0/24 خواهیم شناخت و اینترفیس WAN نیز به اینترنت متصل می‌باشد ، پس چنانچه شما با اینترفیس‌های متفاوتی طرف هستید و یا از رنج IP دیگری استفاده می‌کنید باید در آنها تغییراتی را نسبت به نیاز خود اعمال نمایید.

نکته : قبل از وارد کردن دستورات به این نکته توجه داشته باشید که با سایر سرویس‌های شما اختلالی نداشته باشد و شما بتوانید سرویس مورد نظر را بدون مشکل بر روی آن راه اندازی کنید.

تنظیمات اولیه برای محافظت از میکروتیک

ساخت لیست آدرس IPهای Private

در اولین قدم از تنظیمات مورد نیاز ، ما آدرس IP هایی که به صورت کلی در بین آدرس‌های Public قرار ندارند را به میکروتیک شناسایی می‌نماییم.

برای اعمال تنظیمات ، کلیه کدهای زیر را کپی کرده و در محیط ترمینال وارد کنید.

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=NotPublic
add address=10.0.0.0/8 comment=RFC6890 list=NotPublic
add address=100.64.0.0/10 comment=RFC6890 list=NotPublic
add address=127.0.0.0/8 comment=RFC6890 list=NotPublic
add address=169.254.0.0/16 comment=RFC6890 list=NotPublic
add address=172.16.0.0/12 comment=RFC6890 list=NotPublic
add address=192.0.0.0/24 comment=RFC6890 list=NotPublic
add address=192.0.2.0/24 comment=RFC6890 list=NotPublic
add address=192.168.0.0/16 comment=RFC6890 list=NotPublic
add address=192.88.99.0/24 comment=RFC3068 list=NotPublic
add address=198.18.0.0/15 comment=RFC6890 list=NotPublic
add address=198.51.100.0/24 comment=RFC6890 list=NotPublic
add address=203.0.113.0/24 comment=RFC6890 list=NotPublic
add address=224.0.0.0/4 comment=RFC4601 list=NotPublic
add address=240.0.0.0/4 comment=RFC6890 list=NotPublic

جلوگیری از Incoming Connection

پس از شناساندن آدرس‌های Public و Private به میکروتیک ، با وارد کردن دستور چند خطی زیر ، میکروتیک را از برخی درخواست‌های مختل کننده از سمت اینترنت امن سازید.

برای اعمال دستورات زیر ، همانند دستور قبلی ، کلیه خطوط را کپی کرده و در ترمینال میکروتیک خود کپی کنید و سپس اینتر را بزنید.

/ip firewall filter
add chain=input comment="Accept established and related packets" connection-state=established,related
add chain=input comment="Accept all connections from local network" in-interface=LAN
add action=drop chain=input comment="Drop invalid packets" connection-state=invalid
add action=drop chain=input comment="Drop all packets which are not destined to routes IP address" dst-address-type=!local
add action=drop chain=input comment="Drop all packets which does not have unicast source IP address" src-address-type=!unicast
add action=drop chain=input comment="Drop all packets from public internet which should not exist in public network" in-interface=WAN src-address-list=NotPublic

حال با وارد کردن دستورات بالا ، میکروتیک شما برخی از درخواست‌های ناشناس را که از سمت اینترنت دریافت کند را Drop کرده و اجازه ورود به روتر شما را نخواهد داد و بدین ترتیب قدمی برای امن‌سازی میکروتیک خود برداشته‌اید.

جلوگیری از Outgoing Connection

حال پس از افزایش امن‌سازی روتر از درخواست‌های ورودی یا همان Incoming Connection ها ، در ادامه دستورات زیر را وارد کنید تا از Connection های خروجی که به صورت Forwarding و ناردرست به سمت اینترنت ارسال می‌گردد ، جلوگیری گردد.

در واقع با وارد کردن دستورات زیر ، شما از شبکه داخلی خود محافظت کرده تا اطلاعات از داخل به بیرون درز پیدا نکند.

دستورات زیر را همانند دستورات قبلی ، کپی کرده و ترمینال میکروتیک خود وارد نمایید.

/ip firewall filter
add chain=forward comment="Accept established and related packets" connection-state=established,related
add action=drop chain=forward comment="Drop invalid packets" connection-state=invalid
add action=drop chain=forward comment="Drop new connections from internet which are not dst-natted" connection-nat-state=!dstnat connection-state=new in-interface=WAN
add action=drop chain=forward comment="Drop all packets from public internet which should not exist in public network" in-interface=WAN src-address-list=NotPublic
add action=drop chain=forward comment="Drop all packets from local network to internet which should not exist in public network" dst-address-list=NotPublic in-interface=LAN
add action=drop chain=forward comment="Drop all packets in local network which does not have local network address" in-interface=LAN src-address=!192.168.88.0/24

خُب بدین ترتیب شما با وارد کردن دستورات ذکر شده ، از برخی Connection های ورودی و خروجی که ممکن است روتر و شبکه شما را مختل سازد ، جلوگیری کرده و بارهای اضافی که به سمت روتر شما ارسال می‌گردد را Drop خواهید کرد.

امیدواریم تنظیمات اولیه برای محافظت از میکروتیک برای شما مفید واقع شده باشد.

در مقالات بعدی با آموزش جلوگیری از اسکن میکروتیک در خدمت شما خواهیم بود.

کاربر گرامی شما می‌توانید سؤالات مربوط به این آموزش را در بخش کامنت‌ها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید.