آموزش بلاک کردن IP در میکروتیک

بلاک کردن یک آدرس IP در میکروتیک ممکن است در برخی موارد ضروری باشد. به عنوان مثال، شاید بخواهید برخی کاربران را که در شبکه شما به دلایلی ناپسند رفتار می‌کنند، مسدود کنید. یا در برخی موارد، برای جلوگیری از حملات DOS و DDOS به شبکه، ممکن است بخواهید برخی آدرس‌های IP را بلاک کنید. در این صورت، با بلاک کردن آدرس IP در میکروتیک، ترافیک مربوط به آن آدرس به شبکه شما نخواهد رسید و در نتیجه امنیت شبکه شما افزایش خواهد یافت.

بلاک کردن آدرس IP در میکروتیک می‌تواند برای شبکه‌های کوچک هم ضروری باشد. حتی در شبکه‌های کوچک، ممکن است برخی کاربران به دلایلی ناپسند رفتار نمایند، مثلاً با استفاده از برنامه‌های مخرب ویروسی، حملات DOS و DDOS و یا اشتراک غیرمجاز از منابع شبکه.

بنابراین، بلاک کردن آدرس IP‌های مشکوک می‌تواند برای شبکه‌های کوچک هم به عنوان یک راهکار امنیتی موثر باشد. به همین دلیل، میکروتیک به عنوان یک سیستم عامل شبکه، این قابلیت را برای برنامه‌های کوچک و بزرگ فراهم کرده است تا امنیت شبکه را حفظ کنند.

 

میکروتیک چیست؟

Mikrotik یک سیستم عامل شبکه است که برای کاربردهای شبکه‌ای مورد استفاده قرار می‌گیرد. این سیستم عامل بر روی سخت‌افزارهای مجزا یا رایانه‌های شخصی نصب و اجرا می‌شود و می‌تواند وظایف مدیریت شبکه را انجام دهد، از جمله پیکربندی و مدیریت تجهیزات شبکه، مسیریابی، قابلیت‌های امنیتی و مدیریت پهنای باند.

سیستم عامل میکروتیک از روش‌های مختلفی برای مدیریت شبکه استفاده می‌کند، از جمله رابط کاربری وب، رابط کاربری CLI، مانیتورینگ و ثبت رویدادها و لاگ‌ها. این سیستم عامل همچنین دارای ابزارهای متعددی برای تنظیمات شبکه است، مانند مسیریابی استاتیک و پویا، VLAN، VPN، پروتکل‌های امنیتی، شناسایی تهدیدات و غیره. با توجه به عملکرد بالای میکروتیک در مدیریت شبکه، این سیستم عامل در شرکت‌ها، سازمان‌ها و ISP ها کاربرد فراوانی دارد.

 

موارد مهمی که در مورد میکروتیک باید بدانید 

• سوئیچ‌ها، ایسی‌ها و دیگر تجهیزات را تولید می‌کند.

• روتر او اس نرم‌افزار مسیریابی خاص خودشان است که روی تجهیزات آنها اجرا می‌شود و ویژگی‌ها و انعطاف‌پذیری فراوانی دارد. 

• بیشتر محصولات آنها به دلیل قیمت رقابتی برای بازار SMB و SOHO هستند.

• تجهیزات میکروتیک به خاطر نسبت عملکرد به قیمت مناسبی که دارند، محبوب هستند.

• میکروتیک به دلیل داشتن روتر او اس، سخت‌افزار روتربرد، قیمت مناسب و تجهیزات قابل اطمینان محبوبیت زیادی پیدا کرده است.

اگر شما یک سرپرست یا اپراتور شبکه هستید، باید به دلایل امنیتی، کاربر و آدرس‌های IP موجود در شبکه را مسدود کنید. اگر به دنبال مسدود کردن آدرس IP در روتر میکروتیک هستید تا دسترسی به اینترنت را برای کاربران خاص LAN بدون مسدود کردن اشتراک‌گذاری شبکه محلی مسدود کنید. این پست راهنمای کاربر برای مسدود کردن کاربر در روتر MikroTik با استفاده از گزینه IP address (عددی که برای شناسایی یک رابط شبکه در محیط اینترنت استفاده می‌شود) را در اختیار شما قرار می‌دهد. 

شما اگر هر یک از مدل‌های میکروتیک از CCR را دارید، جعبه پایه میکروتیک، سری RB750 میکروتیک و سوئیچ فیبر میکروتیک یا دستگاه بی‌سیم متعلق به میکروتیک از این راهنمای کاربری پشتیبانی می‌کند. برای راه اندازی بلوک اینترنت کاربر با استفاده از نشانی آی‌پی، باید با استفاده از winbox یا رابط وب به MikroTik RouterOS وارد شوید.

 

IP address چیست؟

آدرس IP یا Internet Protocol Address، یک شناسه یکتا برای هر دستگاه در شبکه اینترنت است. این شناسه شامل یک سری اعداد است که به صورت دو بخش تقسیم می‌شود: بخش شبکه و بخش میزبان.

بخش شبکه یک آدرس IP، به عنوان شناسه شبکه، به شبکه‌ای که دستگاه در آن قرار دارد، اشاره دارد. بخش میزبان نیز به شناسه دستگاه در شبکه اشاره دارد.

آدرس IP معمولا به صورت یک عدد ده‌دهی یا باینری از 32 بیت نمایش داده می‌شود. به عنوان مثال، یک آدرس IP معمولی می‌تواند به صورت 192.168.1.1 نمایش داده شود، که در این آدرس، بخش شبکه به صورت 192.168.1 و بخش میزبان به صورت 1 است. آدرس IP برای مسیریابی بسته‌های داده در شبکه استفاده می‌شود و امکان ارتباط دستگاه‌های مختلف در شبکه را فراهم می‌کند.

 

مراحل مسدود کردن کاربر در MikroTik با استفاده از آدرس IP

اولین مراحل برای دسترسی به تنظیمات RouterOs از ابزار پیکربندی  Winbox. 

• روتر یا دستگاه بی سیم MikroTik را به پورت های LAN کامپیوتر یا لپ تاپ وصل کنید.

• آخرین نسخه Winbox را از دانلودها دانلود کنید

• آدرس IP پیش فرض ورود http://192.168.88.1

• نام کاربری پیش فرض: نام کاربری و رمز عبور برای حالت پیش فرض خالی است.

• روتر هسته ابری MikroTik، RB450، MikroTik Sxt lite یا هر مدلی که برای اینترنت استفاده می‌کنید وارد شوید.

 

 مراحل مسدود کردن یک کاربر خاص با استفاده از نشانی آی‌پی در روتر میکروتیک 

1. وارد پنل مدیریت میکروتیک شوید. آدرس پیش فرض آن https://192.168.1.1 است.

2. به قسمت Firewall > Filter Rules وارد شوید. 

3. 3.یک قاعده جدید ایجاد کنید و آن را به نامی شخصی مانند block-user1 بنامید.

4. در Action، گزینه Block را انتخاب کنید تا ترافیک مربوط به آن آی‌پی را مسدود کند.

5. در قسمت Source Address  ، آی‌پی آدرس کاربر مورد نظر را وارد کنید.

6. تغییرات را ذخیره کنید تا قاعده به اجرا درآید.

7. برای باز کردن فیلتر برای کاربر، روی قاعده بالا کلیک راست کنید و Delete را انتخاب کنید. 

8. سپس دوباره تغییرات را ذخیره نمایید.

 

آدرس IP کاربر ارائه شده توسط سرور DHCP را بررسی کنید

برای جلوگیری از دسترسی به اینترنت برای کاربر خاص LAN یا Wifi باید آدرس IP اختصاص داده شده به کاربر از سرور DHCP را بدانید.

می‌توانید تمام لیست کامپیوترهای متصل و دستگاه‌های همراه را با آدرس Mac و فهرست آدرس IP اختصاص‌یافته بررسی کنید.

به IP- DHCP Server بروید

تب Leases

گزینه Active host را برای نام کامپیوتر یا موبایل تیک بزنید. آدرس مک و جزئیات آدرس IP را برای کاربر خاصی که می‌خواهید مسدود کنید، ببینید.

به آدرس IP موبایل یا کامپیوتری که می‌خواهید دسترسی به اینترنت را محدود کنید توجه کنید.

 

ایجاد لیست آدرس برای بلوک آدرس IP

مرحله بعدی ایجاد یک لیست آدرس در زیر گزینه‌های Firewall  برای ایجاد blacklists   برای مسدود کردن دسترسی به اینترنت برای آدرس‌های IP.

• به گزینه IP-Firewall بروید.

• به تب Address List بروید.

• دکمه Plus (+) را فشار دهید تا یک لیست آدرس فایروال جدید ایجاد شود.

برای بلوک چندین نشانی آی‌پی در میکروتیک، از یک لیست آدرس می‌توانید استفاده کنید. به این صورت می‌توانید تعداد زیادی آی‌پی را با یک قاعده فیلتر کنید. در ادامه بطور کامل برایتان شرح داده‌ایم:

 

برای ایجاد یک لیست آدرس IP و بلوک کردن آن در میکروتیک این مراحل را دنبال کنید:

1. 1.وارد پنل مدیریت میکروتیک شوید. (https://192.168.1.1)

2. به قسمت IP → Address Lists وارد شوید.

3. یک لیست آدرس جدید بسازید و نام آن را بگذارید. مثلا block-list.

4. 4.در قسمت Entries ، آدرس‌های IP را که میخواهید بلاک کنید وارد کنید هر آدرس را در یک سطر جداگانه.

5. 5.سپس به  قسمت Firewall→Filter Rules بروید.

6. 6.یک قاعده جدید ایجاد کنید و در Action، بلاک انتخاب کنید. 

7. 7.در سورس آدرس، لیست آدرسی که ایجاد کرده اید را انتخاب کنید.

8. 8.تغییرات را ذخیره کنید. حال تمام آدرس‌های IP لیست شما مسدود شده‌اند.

 

 مسدود کردن کاربران

آدرس: 192.168.88.254 (یا هر آدرس IP که دریافت کرده اید به کاربری که می‌خواهید مسدود کنید، اختصاص دهید)

برای ایجاد یک لیست دکمه Apply و OK را فشار دهید .

می‌توانید آدرس‌های IP (numerical label used to identify a network interface in an IP network) متعددی را در فهرست کاربران بلوک یکسان ایجاد کنید تا چندین کاربر را همزمان برای دسترسی به اینترنت محدود کنید.

 

قوانین Firewall  را برای مسدود کردن دسترسی به اینترنت ایجاد کنید

برای مسدود کردن دسترسی به اینترنت مشتری، قوانین فیلتر جدیدی ایجاد کنید، اما به کاربران اضافه شده به لیست بلاک اجازه دسترسی محلی را بدهید.

 

مراحل مسدود کردن دسترسی به اینترنت از طریق Firewall میکروتیک

1. وارد پنل مدیریت میکروتیک شوید. آدرس پیش فرض آن https://192.168.1.1 است. 

2. گزینه Firewall > IP/MAC Binding را انتخاب کنید. 

3. در بخش Filter Mode، گزینه IP فیلتر را انتخاب کنید.

4. تحت تب ایجاد قوانین جدید، یک قاعده جدید ایجاد کنید.

5. در این قاعده جدید، گزینه Block را در بخش Action انتخاب کنید تا ترافیک مربوط به آن را مسدود کند. 

6. دسترسی به اینترنت را توسط پروتکلهای HTTP و HTTPS مسدود کنید.

7. Protocol را به HTTP و HTTPS تغییر دهید و Port را به 80 و 443 تنظیم کنید تا دسترسی به وب مسدود شود.

8. تغییرات را ذخیره کنید. حالا دسترسی به اینترنت از طریق پروتکل‌های HTTP و HTTPS مسدود شده است.
   

 

برگه قوانین فیلتر

1. 1: دکمه Plus (+) را برای ایجاد قوانین فیلتر جدید فشار دهید.

2. 2: قوانین جدید Firewall - ابتدا به تب پیشرفته بروید.

3. Src را انتخاب کنید. لیست آدرس - مسدود کردن کاربر (یا هر نامی که به لیست آدرس Firewall داده‌اید).

4. 3: به تب Action بروید.

 

Action- Drop

 

برای تایید قوانین فیلتر، دکمه Apply و OK را فشار دهید .

پس از ایجاد قوانین firewall block ، دسترسی به اینترنت برای کاربران خاصی که به لیست سیاه blacklists  اضافه شده اند مسدود می‌شود.

برای غیرفعال کردن blacklist  کاربران فقط قوانین را انتخاب کنید و دکمه Cross  (Cross) را فشار دهید تا موقتا غیرفعال شود.

آیا می‌توانیم دسترسی به اینترنت را برای یک دستگاه خاص مسدود کنیم؟

بله! میتوانید با استفاده از فیلتر IP در Firewall میکروتیک دسترسی به اینترنت یک دستگاه خاص را مسدود کنید.

برای این کار کافی است آی‌پی آدرس دستگاه مورد نظر را بلاک کنید. مراحل کلی عبارتند از:

1. وارد پنل مدیریت میکروتیک شوید. آدرس پیش فرض آن https://192.168.1.1 است.

2. گزینه Firewall > IP/MAC Binding را انتخاب کنید.

3. در بخش Filter Mode، گزینه IP فیلتر را انتخاب کنید.

4. یک قاعده جدید ایجاد کنید و در Action آن گزینه Block را انتخاب کنید.

5. آی‌پی آدرس دستگاه مورد نظر را در بخش Source IP وارد کنید.

6. تغییرات را ذخیره نمایید.

اکنون دستگاهی که آی‌پی آدرس آن را وارد کرده‌اید از اینترنت محروم شده است. به این صورت می‌توانید به راحتی دسترسی یک دستگاه خاص را مسدود کنید.

 

محدود کردن لیست آدرس برای یک زمان 

شما می‌توانید زمان مجاز بودن یک لیست آدرس IP را مشخص کنید. این امکان بسیار مفید است برای مواردی مثل:

• محدود کردن دسترسی موقت به اینترنت برای یک کاربر

• ارائه دسترسی موقت به مهمانان شبکه

• و ...

 

برای تنظیم زمان مجاز بودن یک لیست آدرس در میکروتیک

1. وارد پنل مدیریت میکروتیک شوید.

2. به قسمت IP → Address Lists وارد شوید.

3. روی لیست آدرس مورد نظر کلیک راست کنید و Edit را انتخاب کنید.

 

در قسمت Timeouts این پارامترها را تنظیم کنید:

• Period time: مدت زمان مجاز بودن (مثلا 2h برای 2 ساعت) 

• Remaining time: زمان باقیمانده تا اکنون  

• : Expiration time زمان انقضای لیست

4. تغییرات را ذخیره کنید.

حال لیست شما برای مدت زمانی محدود فعال خواهد بود و پس از انقضای آن منسوخ می‌شود.

 

تغییر زمان مجاز بودن لیست آدرس 

شما می‌توانید زمان مجاز بودن لیست آدرس‌های IP خود را پس از ایجاد آن تغییر دهید. برای این کار کافی است مجددا روی لیست خود کلیک راست کنید و Edit را انتخاب کنید:

1. وارد صفحه IP → Address Lists در میکروتیک شوید.

2. روی لیست آدرس مورد نظر کلیک راست کنید و Edit را انتخاب کنید.

3. در قسمت Timeouts، زمان های مورد نظر خود را انتخاب کنید:

• Period time مدت جدید فعال بودن لیست آدرس

• Remaining time: زمان باقی‌مانده تا انقضای لیست فعلی

• Expiration time: زمان جدید انقضای لیست

4.تغییرات را ذخیره کنید. لیست شما حالا با تنظیمات زمان مجاز بودن جدید فعال شده است. 

به صورت خلاصه مراحل بالا می‌تواند شامل این موارد باشد:

• کلیک راست کردن 

• Edit کردن لیست

• تغییر مقادیر زمان ها

• ذخیره سازی تغییرات

 

روش مشاهده لیست آدرس‌هایی که در حال حاضر در حال استفاده هستند 

شما  می‌توانید لیست آدرس‌هایی که در حال حاضر در حالت فعال هستند را در میکروتیک مشاهده کنید.

برای این کار به مسیر زیر مراجعه کنید:

IP Settings → Address Lists

در این صفحه شما تمام لیست‌های آدرسی که ایجاد کرده‌اید را مشاهده می‌کنید.

برای مشاهده جزئیات هر یک از لیست‌ها کافی است روی آن کلیک راست کرده و Edit را انتخاب کنید. در این صفحه شما:

• نام لیست آدرس 

• زمان‌های مربوطه (Period time, Remaining time و ...)  

• آدرس‌های موجود در آن لیست آدرس  

• وضعیت (فعال یا غیرفعال)

را مشاهده خواهید کرد.

بنابراین از طریق همین صفحه قادر خواهید بود لیست آدرس‌های فعال در حال حاضر را مشاهده کنید.

 

جمع بندی

محدود کردن آی پی ( IP Blocking ) در میکروتیک باعث می‌شود که بتوانید کنترل بهتری روی ترافیک شبکه داشته باشید. همچنین از ورود ترافیک غیرضروری و مضر به شبکه‌تان جلوگیری کنید.  امنیت شبکه را افزایش دهید.حتی می توانید کاربران مشکوک یا نامطلوب را از شبکه مسدود کنید. از پهنای باند مصرفی به طور موثرتری استفاده کنید. در ضمن می  توانید دسترسی به برخی اپلیکیشن‌ها را محدود کنید.

به طور خلاصه IP Blocking در میکروتیک امنیت شبکه‌تان را بالا می‌برد و شما را قادر می‌سازد تا بهتر بتوانید از پهنای باند موجود استفاده کنید. از طریق آن می‌توانید ترافیک شبکه مورد نظر را محدود کنید و از دسترسی آن آی پی به اینترنت و شبکه محلی جلوگیری به عمل آورید.