MikroTik RouterOS یک سیستم عامل قدرتمند برای مدیریت شبکه است که قابلیتهای متعددی را برای کنترل ترافیک شبکه و امنیت آن فراهم میآورد. یکی از مهمترین و پرکاربردترین قابلیتها در MikroTik، بلاک کردن IPها و پورتها بهمنظور مدیریت دسترسی به شبکه است. این کار به شما این امکان را میدهد که دسترسی غیرمجاز را محدود کرده و از حملات شبکه جلوگیری کنید.
در این مقاله، به آموزش نحوه بلاک کردن IPها و پورتها در MikroTik RouterOS خواهیم پرداخت و نشان خواهیم داد که چگونه میتوانید از ابزارهای Firewall و Filter Rules برای ایجاد قوانین مناسب استفاده کنید.
چرا بلاک کردن IPها و پورتها مهم است؟
بلاک کردن IPها و پورتها یکی از مهمترین و ابتداییترین روشها برای مدیریت امنیت شبکه و جلوگیری از دسترسیهای غیرمجاز است. در دنیای امروز که تهدیدات امنیتی و حملات سایبری بهطور فزایندهای در حال گسترش هستند، این اقدام به عنوان اولین لایه دفاعی برای محافظت از شبکه و منابع داخلی در برابر تهدیدات بیرونی محسوب میشود. در این بخش، دلایل اهمیت بلاک کردن IPها و پورتها را بررسی خواهیم کرد.
جلوگیری از حملات DDoS و SYN Flood
یکی از اصلیترین کاربردهای بلاک کردن IPها و پورتها، جلوگیری از حملات توزیعشده محرومسازی از سرویس (DDoS) است. در این نوع حملات، مهاجم از شبکههای متعدد برای ارسال ترافیک مخرب به هدف استفاده میکند. این ترافیک میتواند باعث سرریز شدن منابع شبکه شود و در نهایت به قطع خدمات یا کندی عملکرد شبکه منجر گردد. با بلاک کردن IPهای مسبب یا پورتهای آسیبپذیر، میتوان جلوی این نوع حملات را گرفت و از پایداری شبکه اطمینان حاصل کرد.
SYN Flood یکی دیگر از انواع حملات است که از طریق ارسال درخواستهای دسترسی به پورتهای خاص (معمولاً پورتهای TCP) انجام میشود. بلاک کردن پورتهای آسیبپذیر مانند پورت 80 (HTTP) یا پورت 22 (SSH) میتواند به جلوگیری از این نوع حملات کمک کند.
محدود کردن دسترسی غیرمجاز به سرویسهای حساس
در شبکههای سازمانی، ممکن است برخی سرویسها مانند SSH، FTP، یا Telnet بهطور مستقیم به منابع داخلی متصل باشند و برای مدیریت دستگاهها استفاده شوند. اگر این پورتها امنیت مناسبی نداشته باشند یا بهدرستی تنظیم نشوند، میتوانند به هدفهای حمله تبدیل شوند.
برای مثال، مهاجمان میتوانند از طریق پورت SSH به روتر یا سرور نفوذ کنند و تنظیمات آن را تغییر دهند. با بلاک کردن پورتهای SSH یا محدود کردن دسترسی به آدرسهای IP خاص، میتوان از دسترسی غیرمجاز به این سرویسهای حساس جلوگیری کرد.
محافظت در برابر پورت اسکنینگ و Port Scanning
یکی دیگر از تهدیدات مهم در شبکه، پورت اسکنینگ است که در آن مهاجم بهطور مداوم پورتهای باز یک دستگاه یا روتر را جستجو میکند تا پورتهای آسیبپذیر را شناسایی کند و سپس به آنها حمله کند. با بلاک کردن پورتهای غیرضروری یا مسدود کردن پورتهای خاص که احتمالاً در معرض حملات هستند، میتوان از این نوع حملات جلوگیری کرد. این کار باعث میشود که دستگاهها و سرویسهای شبکه از حملات پورت اسکنینگ در امان بمانند.
کنترل دسترسی و تخصیص پهنای باند
با بلاک کردن IPها و پورتها، شما میتوانید دسترسیها را محدود کرده و ترافیک شبکه را بهطور بهینهتری کنترل کنید. بهعنوان مثال، اگر بخواهید فقط دستگاههای داخلی به سرویسهای داخلی مانند DNS یا DHCP دسترسی داشته باشند، میتوانید IPهای خارجی را مسدود کنید تا فقط دستگاههای مجاز از این سرویسها استفاده کنند. این اقدام به بهبود امنیت شبکه و تخصیص بهینه پهنای باند کمک میکند.
همچنین، با محدود کردن دسترسی به پورتهای خاص، میتوانید از ازدحام شبکه و کاهش پهنای باند ناشی از ترافیکهای نامطلوب جلوگیری کنید.
پیشگیری از حملات مبتنی بر پروتکلهای خاص
مهاجمان اغلب از پروتکلهای خاص برای انجام حملات استفاده میکنند. برای مثال، پروتکل Telnet بهطور خاص برای دسترسی غیرمجاز به دستگاهها و روترها استفاده میشود. به همین دلیل، بسیاری از شبکهها تصمیم میگیرند پورتهای Telnet را مسدود کرده و پروتکلهای امنتری مانند SSH را جایگزین کنند. همچنین، پروتکلهای غیرضروری مانند SMB و NetBIOS میتوانند به حملات داخلی کمک کنند. مسدود کردن پورتهای مربوط به این پروتکلها میتواند به حفاظت بیشتر شبکه کمک کند.
پیشگیری از دسترسی به منابع داخلی از خارج
گاهی اوقات، ممکن است نیاز به محدود کردن دسترسی به سرویسها و منابع داخلی شبکه از خارج از شبکه باشد. بلاک کردن IPهای خارجی یا پورتهای خاص که بهطور پیشفرض در معرض دسترسی قرار دارند، از این مشکل جلوگیری میکند. به این ترتیب، شما میتوانید بهطور دقیق کنترل کنید که کدام دستگاهها و کاربران مجاز به دسترسی به شبکه داخلی یا پلتفرمهای حساس باشند.
نحوه بلاک کردن IP در MikroTik
برای بلاک کردن IP در MikroTik RouterOS، شما میتوانید از ابزار Filter Rules در بخش Firewall استفاده کنید. برای این کار، ابتدا باید وارد Winbox یا WebFig شوید و سپس مراحل زیر را دنبال کنید:
- ورود به MikroTik RouterOS:
- وارد Winbox یا WebFig شوید و به روتر میکروتیک خود متصل شوید.
- باز کردن بخش فایروال:
- از منوی سمت چپ به IP > Firewall بروید.
- به تب Filter Rules بروید.
- ساخت Rule جدید برای مسدود کردن IP:
- روی + کلیک کنید تا یک قانون جدید اضافه کنید.
- در پنجره باز شده:
- Chain را روی Input یا Forward قرار دهید (بسته به اینکه ترافیک ورودی یا عبوری را میخواهید مسدود کنید).
- Src. Address (آدرس مبدا) را وارد کنید. به عنوان مثال، اگر میخواهید IP خاصی را مسدود کنید، آدرس آن را در این بخش وارد کنید.
- در بخش Action، گزینه Drop را انتخاب کنید تا ترافیک از آن IP مسدود شود.
- ذخیره تنظیمات:
- روی OK کلیک کنید تا قانون جدید ذخیره شود.
پس از این کار، ترافیک ورودی از آدرس IP مشخصشده مسدود میشود و از ورود آن به شبکه جلوگیری خواهد شد.
نحوه بلاک کردن پورت در MikroTik
برای مسدود کردن پورتها در MikroTik RouterOS، مشابه به بلاک کردن IP، از Firewall Rules استفاده میکنیم. با استفاده از این ابزار میتوانید پورتهای خاصی را که برای خدمات خاصی مانند SSH (پورت 22)، FTP (پورت 21)، یا HTTP (پورت 80) استفاده میشوند، مسدود کنید. این کار میتواند از دسترسی غیرمجاز به این سرویسها جلوگیری کند.
- ورود به MikroTik RouterOS:
- وارد Winbox یا WebFig شوید و به روتر میکروتیک خود متصل شوید.
- باز کردن بخش فایروال:
- از منوی سمت چپ به IP > Firewall بروید.
- به تب Filter Rules بروید.
- ساخت Rule جدید برای مسدود کردن پورت:
- روی + کلیک کنید تا یک قانون جدید اضافه کنید.
- در پنجره باز شده:
- Chain را روی Input یا Forward قرار دهید.
- در بخش Protocol، پروتکل TCP یا UDP را انتخاب کنید (بسته به نیاز شما).
- در بخش Dst. Port، شماره پورت مورد نظر را وارد کنید. برای مثال، برای مسدود کردن پورت 22 (SSH)، پورت 21 (FTP)، یا پورت 80 (HTTP) میتوانید از این گزینه استفاده کنید.
- در بخش Action، گزینه Drop را انتخاب کنید تا ترافیک مربوط به این پورت مسدود شود.
- ذخیره تنظیمات:
- روی OK کلیک کنید تا قانون جدید ذخیره شود.
با این کار، هر ترافیک ورودی یا عبوری که به این پورتها مربوط باشد، مسدود خواهد شد و از دسترسی به سرویسها جلوگیری میشود.
نکات مهم در مسدود کردن IPها و پورتها
مسدود کردن IPها و پورتها در MikroTik RouterOS یک روش اساسی و بسیار مهم برای مدیریت دسترسی و امنیت شبکه است. با استفاده از ابزارهای فایروال میتوان بهطور دقیق ترافیک شبکه را کنترل کرد و از تهدیدات احتمالی جلوگیری نمود. با این حال، در مسدود کردن IPها و پورتها باید برخی نکات کلیدی را در نظر گرفت تا عملکرد شبکه مختل نشود و امنیت آن بهطور مؤثر حفظ گردد.
در این بخش، به بررسی نکات مهم در هنگام مسدود کردن IPها و پورتها در MikroTik میپردازیم.
1. ترتیب قوانین فایروال
یکی از مهمترین نکات در تنظیم قوانین فایروال، ترتیب قوانین است. قوانین فایروال در MikroTik RouterOS بهطور ترتیبی اجرا میشوند و بستهها به ترتیب از بالا به پایین بررسی میشوند. اولین قانونی که با بسته تطابق داشته باشد، اعمال میشود و پس از آن دیگر قوانین بررسی نمیشوند.
برای جلوگیری از مسدود کردن اشتباهی ترافیک یا ایجاد خلل در عملکرد شبکه، بلاک کردن IPها یا پورتها باید در ابتدای فهرست قرار گیرد. این کار باعث میشود که ترافیکهای غیرمجاز در مراحل اولیه فیلتر شوند و سپس سایر قوانین برای ترافیکهای مجاز اعمال شوند.
2. آزمون و بررسی قوانین بعد از پیکربندی
پس از تنظیم قوانین فایروال برای مسدود کردن IPها یا پورتها، باید آزمون و بررسی انجام دهید تا از عملکرد صحیح قوانین اطمینان حاصل کنید. استفاده از ابزارهایی مانند Ping، Traceroute و Netwatch میتواند به شما کمک کند تا دستگاهها یا سرویسهای مختلف را برای بررسی دسترسپذیری و اتصال بررسی کنید.
همچنین، با استفاده از Log در فایروال میتوانید مشاهده کنید که چه ترافیکی مسدود شده و چرا. اگر ترافیک مورد نظر مسدود نشده یا بهطور اشتباهی مسدود شده باشد، باید قوانین فایروال را مجدداً بررسی و تنظیم کنید.
3. استفاده از قوانین خاص برای ترافیکهای حساس
هنگام مسدود کردن پورتها یا IPها، باید توجه ویژهای به سرویسهای حساس و حیاتی در شبکه داشته باشید. برای مثال، پورت 22 (SSH) ممکن است برای دسترسی به روترهای MikroTik و مدیریت آنها استفاده شود. در صورتی که این پورت را مسدود کنید، ممکن است بهطور غیرمجاز نتوانید به روتر خود دسترسی پیدا کنید.
برای پورتها یا IPهای حساس بهتر است که قوانین دقیقی ایجاد کنید تا فقط دستگاههای یا کاربران خاصی مجاز به دسترسی به این سرویسها باشند. بهعنوان مثال، میتوانید تنها به IPهای داخلی یا دستگاههای خاص اجازه دسترسی به پورتهای SSH دهید و سایر ترافیکها را مسدود کنید.
4. استفاده از فیلتر بر اساس پروتکل و پورت
هنگام مسدود کردن ترافیک، استفاده از فیلترهای دقیق بسیار مهم است. بهعنوان مثال، به جای مسدود کردن تمام ترافیک TCP، بهتر است که ترافیک مربوط به پورتهای خاص مانند HTTP (پورت 80)، FTP (پورت 21)، یا Telnet (پورت 23) را مسدود کنید. این کار به شما این امکان را میدهد که فقط پورتهای آسیبپذیر یا سرویسهای غیرضروری را مسدود کرده و سایر ترافیکهای معتبر را اجازه دهید.
برای مثال، اگر میخواهید فقط ترافیک ورودی به پورت 80 (HTTP) را مسدود کنید، میتوانید از پروتکل TCP و پورت 80 در قوانین فایروال استفاده کنید و بقیه ترافیک HTTP را مسدود نکنید.
5. استفاده از IPs Whitelist و Blacklist
یکی از روشهای رایج برای مدیریت دسترسی به شبکه استفاده از Whitelist و Blacklist است. Whitelist به شما این امکان را میدهد که تنها IPهای خاص را مجاز به دسترسی به سرویسها و پورتها کنید، در حالی که Blacklist به شما این امکان را میدهد که IPهایی که به عنوان تهدید شناخته شدهاند را مسدود کنید.
با استفاده از Whitelist میتوانید اطمینان حاصل کنید که فقط دستگاههای مورد تایید به سرویسهای حساس دسترسی پیدا کنند، در حالی که با Blacklist میتوانید IPهای مشکوک یا آدرسهای IP که از آنها حملات انجام شده است را مسدود کنید.
6. محدود کردن تعداد اتصالات همزمان
برای جلوگیری از حملات DDoS و SYN Flooding، باید تعداد اتصالات همزمان از یک IP واحد را محدود کنید. با استفاده از فایروال MikroTik RouterOS، میتوانید محدودیتهایی را برای تعداد اتصالات همزمان از یک آدرس IP خاص اعمال کنید.
این کار بهویژه زمانی مفید است که شما در حال بررسی ترافیک ورودی هستید و نیاز دارید که اتصالات غیرمجاز را شناسایی کرده و بهطور خودکار آنها را مسدود کنید.
7. پشتیبانگیری از تنظیمات فایروال
قبل از اعمال هرگونه تغییرات بزرگ در قوانین فایروال، همیشه باید از تنظیمات خود پشتیبانگیری کنید. با انجام این کار، اگر تغییرات جدید باعث بروز مشکل یا قطعی در شبکه شوند، میتوانید بهراحتی به تنظیمات قبلی بازگشته و از قطع شدن سرویسها جلوگیری کنید.
پشتیبانگیری از تنظیمات به شما این امکان را میدهد که در صورت بروز هرگونه مشکل، سریعاً اقدامات اصلاحی انجام دهید.
8. نظارت مستمر و بهروزرسانی قوانین فایروال
امنیت شبکه یک فرآیند مداوم است. پس از اعمال قوانین فایروال برای مسدود کردن IPها و پورتها، نظارت و بررسی آنها بهطور مستمر ضروری است. تهدیدات جدید بهطور مداوم در حال ظهور هستند، بنابراین باید قوانین فایروال را بهطور مرتب بهروزرسانی کرده و تنظیمات خود را مطابق با خطرات جدید تغییر دهید.
نتیجهگیری
بلاک کردن IPها و پورتها در MikroTik RouterOS یکی از روشهای کلیدی برای مدیریت دسترسی و افزایش امنیت شبکه است. با استفاده از ابزار Firewall Rules میتوانید بهطور دقیق ترافیک شبکه را کنترل کنید و از دسترسیهای غیرمجاز به شبکه جلوگیری نمایید. علاوه بر این، با مسدود کردن پورتها، میتوانید دسترسی به سرویسهای حساس را محدود کنید و از حملات مختلف به شبکه خود جلوگیری کنید.
این ابزارها به شما این امکان را میدهند که بهطور مؤثر از شبکه خود محافظت کرده و ترافیک غیرمجاز را شناسایی و مسدود کنید. با پیروی از بهترین شیوههای پیکربندی فایروال، میتوانید شبکهای ایمنتر و پایدارتر ایجاد کنید.



