از سری مطالب آموزش میکروتیک در این بخش با آموزش برخی تنظیمات اولیه برای محافظت از میکروتیک در خدمت شما خواهیم بود تا شما بتوانید با افزودن این سری از کدها در ترمینال و افزوده شدن آنها در فایروال میکروتیک از تعدادی از حملات احتمالی به سمت میکروتیک خود جلوگیری نماید.
نکته حائز اهمیت در این مطلب این است که بدانید ، این تنظیمات بر روی یک روتر میکروتیک به صورت پیش فرض انجام شده است و در این مطلب ما شبکه LAN را با آدرس 192.168.88.0/24 خواهیم شناخت و اینترفیس WAN نیز به اینترنت متصل میباشد ، پس چنانچه شما با اینترفیسهای متفاوتی طرف هستید و یا از رنج IP دیگری استفاده میکنید باید در آنها تغییراتی را نسبت به نیاز خود اعمال نمایید.
نکته : قبل از وارد کردن دستورات به این نکته توجه داشته باشید که با سایر سرویسهای شما اختلالی نداشته باشد و شما بتوانید سرویس مورد نظر را بدون مشکل بر روی آن راه اندازی کنید.
تنظیمات اولیه برای محافظت از میکروتیک
ساخت لیست آدرس IPهای Private
در اولین قدم از تنظیمات مورد نیاز ، ما آدرس IP هایی که به صورت کلی در بین آدرسهای Public قرار ندارند را به میکروتیک شناسایی مینماییم.
برای اعمال تنظیمات ، کلیه کدهای زیر را کپی کرده و در محیط ترمینال وارد کنید.
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=NotPublic
add address=10.0.0.0/8 comment=RFC6890 list=NotPublic
add address=100.64.0.0/10 comment=RFC6890 list=NotPublic
add address=127.0.0.0/8 comment=RFC6890 list=NotPublic
add address=169.254.0.0/16 comment=RFC6890 list=NotPublic
add address=172.16.0.0/12 comment=RFC6890 list=NotPublic
add address=192.0.0.0/24 comment=RFC6890 list=NotPublic
add address=192.0.2.0/24 comment=RFC6890 list=NotPublic
add address=192.168.0.0/16 comment=RFC6890 list=NotPublic
add address=192.88.99.0/24 comment=RFC3068 list=NotPublic
add address=198.18.0.0/15 comment=RFC6890 list=NotPublic
add address=198.51.100.0/24 comment=RFC6890 list=NotPublic
add address=203.0.113.0/24 comment=RFC6890 list=NotPublic
add address=224.0.0.0/4 comment=RFC4601 list=NotPublic
add address=240.0.0.0/4 comment=RFC6890 list=NotPublic
جلوگیری از Incoming Connection
پس از شناساندن آدرسهای Public و Private به میکروتیک ، با وارد کردن دستور چند خطی زیر ، میکروتیک را از برخی درخواستهای مختل کننده از سمت اینترنت امن سازید.
برای اعمال دستورات زیر ، همانند دستور قبلی ، کلیه خطوط را کپی کرده و در ترمینال میکروتیک خود کپی کنید و سپس اینتر را بزنید.
/ip firewall filter
add chain=input comment="Accept established and related packets" connection-state=established,related
add chain=input comment="Accept all connections from local network" in-interface=LAN
add action=drop chain=input comment="Drop invalid packets" connection-state=invalid
add action=drop chain=input comment="Drop all packets which are not destined to routes IP address" dst-address-type=!local
add action=drop chain=input comment="Drop all packets which does not have unicast source IP address" src-address-type=!unicast
add action=drop chain=input comment="Drop all packets from public internet which should not exist in public network" in-interface=WAN src-address-list=NotPublic
حال با وارد کردن دستورات بالا ، میکروتیک شما برخی از درخواستهای ناشناس را که از سمت اینترنت دریافت کند را Drop کرده و اجازه ورود به روتر شما را نخواهد داد و بدین ترتیب قدمی برای امنسازی میکروتیک خود برداشتهاید.
جلوگیری از Outgoing Connection
حال پس از افزایش امنسازی روتر از درخواستهای ورودی یا همان Incoming Connection ها ، در ادامه دستورات زیر را وارد کنید تا از Connection های خروجی که به صورت Forwarding و ناردرست به سمت اینترنت ارسال میگردد ، جلوگیری گردد.
در واقع با وارد کردن دستورات زیر ، شما از شبکه داخلی خود محافظت کرده تا اطلاعات از داخل به بیرون درز پیدا نکند.
دستورات زیر را همانند دستورات قبلی ، کپی کرده و ترمینال میکروتیک خود وارد نمایید.
/ip firewall filter
add chain=forward comment="Accept established and related packets" connection-state=established,related
add action=drop chain=forward comment="Drop invalid packets" connection-state=invalid
add action=drop chain=forward comment="Drop new connections from internet which are not dst-natted" connection-nat-state=!dstnat connection-state=new in-interface=WAN
add action=drop chain=forward comment="Drop all packets from public internet which should not exist in public network" in-interface=WAN src-address-list=NotPublic
add action=drop chain=forward comment="Drop all packets from local network to internet which should not exist in public network" dst-address-list=NotPublic in-interface=LAN
add action=drop chain=forward comment="Drop all packets in local network which does not have local network address" in-interface=LAN src-address=!192.168.88.0/24
خُب بدین ترتیب شما با وارد کردن دستورات ذکر شده ، از برخی Connection های ورودی و خروجی که ممکن است روتر و شبکه شما را مختل سازد ، جلوگیری کرده و بارهای اضافی که به سمت روتر شما ارسال میگردد را Drop خواهید کرد.
امیدواریم تنظیمات اولیه برای محافظت از میکروتیک برای شما مفید واقع شده باشد.
در مقالات بعدی با آموزش جلوگیری از اسکن میکروتیک در خدمت شما خواهیم بود.
کاربر گرامی شما میتوانید سؤالات مربوط به این آموزش را در بخش کامنتها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید.