Firewall در MikroTik RouterOS یکی از ابزارهای مهم برای مدیریت ترافیک شبکه است. با استفاده از Firewall Rules میتوان ترافیک ورودی و خروجی شبکه را کنترل کرده، از حملات امنیتی جلوگیری کرد و پیکربندی شبکه را بهطور دقیقتری مدیریت نمود. در این مقاله، به آموزش نحوه ساخت Firewall Rule در MikroTik RouterOS خواهیم پرداخت و به شما نشان خواهیم داد که چگونه با استفاده از ابزارهای Filter Rules، NAT و Mangle میتوانید شبکه خود را ایمن و پایدار نگه دارید.
فایروال در MikroTik چیست؟
فایروال یکی از اجزای حیاتی هر شبکه است که برای مدیریت ترافیک و محافظت از شبکه در برابر تهدیدات مختلف طراحی شده است. در MikroTik RouterOS، فایروال ابزاری است که به شما اجازه میدهد تا بهطور دقیق کنترل کنید که چه ترافیکی وارد شبکه شما میشود و چه ترافیکی از آن خارج میشود. فایروالهای MikroTik معمولاً برای مسیریابی ترافیک، کنترل دسترسی و امنیت شبکه استفاده میشوند و یکی از اصلیترین ویژگیها برای محافظت از شبکههای خصوصی در برابر حملات و تهدیدات بیرونی هستند.
فایروال در MikroTik RouterOS شامل تعدادی ابزار مختلف است که برای فیلتر کردن بستهها، ترجمه آدرسها و مارکگذاری بستهها طراحی شدهاند. در این سیستم، شما میتوانید قوانین مختلفی را ایجاد کرده و آنها را طبق نیازهای خاص شبکه خود پیکربندی کنید.
مهمترین بخشهای فایروال در MikroTik RouterOS شامل Filter Rules، NAT، و Mangle هستند که هرکدام برای اهداف خاصی استفاده میشوند. این ابزارها به شما این امکان را میدهند که بتوانید ترافیک را فیلتر کنید، ترافیک به مقصد خاصی را مسیریابی کنید یا حتی بستههای شبکه را تغییر دهید.
Filter Rules
Filter Rules یکی از بخشهای اصلی فایروال MikroTik است که به شما این امکان را میدهد تا ترافیک ورودی و خروجی را با توجه به معیارهای خاصی مانند آدرس IP، پروتکلها، پورتها و زمان فیلتر کنید. این قوانین برای اجازه دادن یا مسدود کردن ترافیک از مبدأ خاص، مقصد خاص یا پروتکل خاص استفاده میشوند.
NAT (Network Address Translation)
NAT یکی از ویژگیهای فایروال است که برای تغییر آدرسهای IP در بستهها استفاده میشود. برای مثال، در Masquerading، آدرسهای IP داخلی به یک IP عمومی تبدیل میشوند تا ترافیک شبکه داخلی از طریق یک IP عمومی به اینترنت دسترسی پیدا کند. Port Forwarding نیز یکی دیگر از انواع NAT است که به شما این امکان را میدهد که ترافیک ورودی به یک پورت خاص را به یک دستگاه یا سرور خاص در شبکه داخلی هدایت کنید.
Mangle
Mangle برای انجام عملیاتهای پیشرفتهتر بر روی بستهها مانند مارکگذاری بستهها، تغییر مقادیر TCP flags و حتی تغییر ترتیب بستهها استفاده میشود. این ویژگی بیشتر در مسیریابی پیشرفته و مدیریت ترافیک برای شناسایی و اولویتبندی ترافیک خاص استفاده میشود.
روشهای فیلتر کردن در MikroTik
در MikroTik RouterOS، میتوانید از چندین روش مختلف برای فیلتر کردن ترافیک استفاده کنید:
-
فیلتر بر اساس آدرس IP: میتوانید بستهها را براساس آدرسهای IP مبدا و مقصد فیلتر کنید.
-
فیلتر بر اساس پورتها: میتوانید بستهها را بر اساس پورتهای TCP/UDP فیلتر کنید.
-
فیلتر بر اساس پروتکلها: میتوانید بستهها را بر اساس پروتکلهای مختلف مانند TCP، UDP، ICMP، IP و غیره فیلتر کنید.
-
فیلتر بر اساس زمان: میتوانید فیلترهایی را ایجاد کنید که بر اساس زمان خاصی از روز یا هفته فعال شوند.
عملکرد فایروال در MikroTik
فایروال MikroTik بهطور کلی در دو بخش اصلی مسیریابی و امنیت عمل میکند. در بخش مسیریابی، فایروال به شما این امکان را میدهد که ترافیک را از مبدأ به مقصد خاص هدایت کنید. در بخش امنیت، فایروال میتواند از ورود ترافیکهای مخرب یا حملات شبکه جلوگیری کند و ترافیکهای غیرمجاز را مسدود نماید.
همچنین، فایروال به شما این امکان را میدهد که از VPNها، FIREWALL RULES و سرورهای مختلف برای ارتقاء امنیت شبکه و دسترسی کاربران استفاده کنید. این ابزار بهویژه در شبکههای بزرگ و شبکههای دارای ترافیک بالا بسیار مفید است، چرا که میتوانید بهطور دقیقتر ترافیکها را مدیریت کنید و از حملات DDoS و سایر تهدیدات جلوگیری نمایید.
ویژگیهای پیشرفته فایروال در MikroTik
-
Rate Limiting: با استفاده از Rate Limiting میتوانید محدودیتهایی برای سرعت ترافیک ورودی و خروجی تنظیم کنید.
-
Stateful Inspection: این ویژگی به فایروال این امکان را میدهد که وضعیت اتصال را رصد کرده و بستههایی که بخشی از یک اتصال معتبر هستند، اجازه عبور پیدا کنند.
-
Blacklist و Whitelist: شما میتوانید آدرسهای IP یا دامنههای خاصی را در لیست سیاه (Blacklist) یا لیست سفید (Whitelist) قرار دهید.
بخشهای مختلف فایروال در MikroTik
قبل از ایجاد قوانین فایروال در MikroTik RouterOS، باید با اجزای اصلی آن آشنا شوید:
- Filter Rules: این بخش به شما اجازه میدهد تا قوانین فیلتر کردن ترافیک را برای اتصالات ورودی و خروجی ایجاد کنید. این قوانین معمولاً برای مسدود کردن یا اجازه دادن به ترافیک خاص استفاده میشود.
- NAT (Network Address Translation): این بخش به شما امکان میدهد که آدرسهای IP را تغییر دهید. Masquerading، Port Forwarding و Destination NAT از جمله تنظیمات رایج در این بخش هستند.
- Mangle: این ابزار برای تغییر و اصلاح بستهها در مسیریابی یا فیلتر کردن استفاده میشود. با Mangle میتوانید مارکگذاری بستهها کنید و در مراحل بعدی پردازش آنها را بر اساس این مارکها انجام دهید.
مراحل ساخت Ruleهای فایروال در MikroTik
1. ساخت Rule برای فیلتر کردن ترافیک ورودی و خروجی
برای فیلتر کردن ترافیک در MikroTik، از بخش Filter Rules استفاده میشود. این بخش به شما این امکان را میدهد که ترافیک ورودی و خروجی شبکه را بر اساس آیتمهایی مانند آیپی مقصد، پورتها یا پروتکلها فیلتر کنید.
- وارد Winbox یا WebFig شوید و به روتر میکروتیک خود متصل شوید.
- از منوی سمت چپ به بخش IP > Firewall بروید.
- در تب Filter Rules، روی + کلیک کنید تا یک Rule جدید ایجاد کنید.
- در پنجره باز شده:
- Chain: انتخاب کنید که آیا این Rule برای ترافیک ورودی (input)، خروجی (output) یا ترافیک در حال عبور (forward) باشد.
- Protocol: پروتکلهایی که میخواهید فیلتر کنید (مانند TCP، UDP یا ICMP) را انتخاب کنید.
- Dst. Address: آدرس IP مقصد که میخواهید ترافیک را برای آن فیلتر کنید.
- Action: انتخاب کنید که چه عملیاتی بر روی ترافیک انجام شود، مانند accept (اجازه دادن به ترافیک) یا drop (مسدود کردن ترافیک).
- روی OK کلیک کنید تا قوانین فایروال شما ذخیره شود.
2. ساخت NAT Rule برای ترجمه آدرسها
برای انجام ترجمه آدرسها یا NAT، مانند Masquerading یا Port Forwarding، از بخش NAT در فایروال استفاده میکنیم.
- وارد Winbox یا WebFig شوید و به بخش IP > Firewall بروید.
- به تب NAT بروید و روی + کلیک کنید.
- در پنجره باز شده:
- Chain: برای Masquerading از گزینه srcnat استفاده کنید.
- Action: Masquerade را انتخاب کنید.
- در بخش Out. Interface، Ethernet یا WLAN که به اینترنت متصل است را انتخاب کنید.
- روی OK کلیک کنید تا Masquerading فعال شود و شبکه داخلی شما از طریق IP عمومی اینترنت به بیرون متصل شود.
3. ساخت Mangle Rule برای مارکگذاری بستهها
Mangle برای مارکگذاری بستهها استفاده میشود که میتواند برای انجام عملیاتهای خاص مانند مسیریابی و مدیریت ترافیک بهکار رود.
- وارد Winbox یا WebFig شوید و به بخش IP > Firewall بروید.
- به تب Mangle بروید و روی + کلیک کنید.
- در پنجره باز شده:
- Chain: Prerouting، Forward یا Postrouting را انتخاب کنید.
- Action: mark connection یا mark packet را انتخاب کنید.
- New Connection Mark یا New Packet Mark را وارد کنید.
- روی OK کلیک کنید تا مارکگذاری بستهها انجام شود.
4. استفاده از فایروال برای کنترل دسترسی به سرویسها
در صورتی که بخواهید دسترسی به یک سرویس خاص (مثل HTTP، FTP، یا SSH) را کنترل کنید، میتوانید از فایروال برای محدود کردن یا اجازه دادن دسترسی استفاده کنید.
- به بخش IP > Firewall بروید و در تب Filter Rules، روی + کلیک کنید.
- Chain را روی Input قرار دهید تا ترافیک ورودی فیلتر شود.
- در بخش Protocol، پروتکل مورد نظر (مثل TCP برای HTTP) را انتخاب کنید.
- در بخش Dst. Port، پورت مورد نظر (مثلاً پورت 80 برای HTTP) را وارد کنید.
- در بخش Action، accept یا drop را انتخاب کنید.
- روی OK کلیک کنید تا قوانین فایروال ذخیره شود.
نکات مهم در تنظیمات فایروال در MikroTik
فایروال در MikroTik RouterOS ابزاری اساسی برای مدیریت ترافیک شبکه و حفاظت از شبکه در برابر تهدیدات مختلف است. با توجه به اهمیت بالای این ابزار در حفظ امنیت و عملکرد شبکه، تنظیمات صحیح آن بسیار حائز اهمیت است. در این بخش، نکات مهمی که باید در هنگام پیکربندی Firewall در MikroTik به آنها توجه داشته باشید را بررسی میکنیم.
1. ترتیب قوانین فایروال
ترتیب قوانین فایروال یکی از مهمترین نکات در تنظیمات فایروال است. در MikroTik RouterOS، قوانین فایروال بهطور ترتیبی اجرا میشوند و بستهها به ترتیب از بالا به پایین بررسی میشوند. اولین قانونی که با بسته تطابق داشته باشد، اعمال میشود و پس از آن دیگر قوانین بررسی نمیشوند. به همین دلیل، باید به ترتیب و ترتیب منطقی قوانین توجه ویژهای داشته باشید.
برای مثال، اگر قانونی برای مسدود کردن تمام ترافیک ورودی به جز یک پروتکل خاص تنظیم کنید، این قانون باید در بالای قوانین فایروال قرار گیرد تا قبل از سایر قوانین برای ترافیکهایی که نباید عبور کنند، اجرا شود.
2. استفاده از Logging برای بررسی ترافیک
استفاده از Logging در فایروال به شما این امکان را میدهد که ترافیکهای عبوری را ثبت کرده و از آن برای عیبیابی و تحلیل مشکلات شبکه استفاده کنید. برای هر قانونی که میخواهید ترافیک آن ثبت شود، میتوانید گزینه log=yes را فعال کنید.
با فعال کردن logging در قوانین فایروال، میتوانید لاگهای ترافیک را در بخش Log مشاهده کرده و ببینید که کدام ترافیکها مسدود یا پذیرفته شدهاند. این ابزار بهویژه زمانی مفید است که بخواهید بفهمید که چرا یک بسته خاص مسدود شده است یا چرا ترافیک خاصی از طریق فایروال عبور کرده است.
3. استفاده از Chainهای مناسب
در هنگام ایجاد قوانین فایروال، استفاده از Chain مناسب ضروری است. در MikroTik RouterOS، چندین Chain برای فیلتر کردن ترافیک وجود دارد که شامل:
-
Input Chain: برای فیلتر کردن ترافیک ورودی به روتر خود.
-
Output Chain: برای فیلتر کردن ترافیک خروجی از روتر.
-
Forward Chain: برای فیلتر کردن ترافیکهایی که از طریق روتر عبور میکنند.
بسته به نوع ترافیکی که میخواهید کنترل کنید، باید Chain صحیح را انتخاب کنید. برای مثال، اگر میخواهید دسترسی به سرویسهای مدیریتی روتر را محدود کنید، باید از Input Chain استفاده کنید.
4. استفاده از Matchها و Actionهای صحیح
در قوانین فایروال، از matchها (مطابق بودن) و actionها (عملیاتها) استفاده میشود تا بستهها بر اساس ویژگیهای خاصشان مانند آدرس IP، پروتکلها، پورتها و غیره فیلتر شوند.
-
Match: از ویژگیهای match برای تطبیق بستهها با شرایط خاص استفاده میشود. برای مثال، میتوانید بستهها را بر اساس آدرس IP مبدا، آدرس IP مقصد، پورت مقصد یا پروتکل TCP/UDP فیلتر کنید.
-
Action: بعد از تطبیق بستهها، باید عملیاتی روی آنها انجام شود. عملیاتها میتوانند شامل accept (اجازه دادن به ترافیک)، drop (مسدود کردن ترافیک) یا reject (پاسخ دادن به ترافیک با پیغام خطا) باشند.
همچنین، برای بررسی ترافیک میتوانید از marking بستهها یا connectionها استفاده کنید که به شما این امکان را میدهد که در مراحل بعدی شبکه بهطور دقیقتری آنها را پردازش کنید.
5. تنظیم قوانین برای جلوگیری از حملات DDoS
یکی از مهمترین وظایف فایروال، جلوگیری از حملات DDoS (حملات توزیعشده محرومسازی از سرویس) است. برای محافظت از شبکه خود در برابر این نوع حملات، باید قوانینی تنظیم کنید که درخواستهای زیاد از یک IP واحد را مسدود کنند.
برای جلوگیری از Flooding و SYN Flood، میتوانید از ویژگیهایی مانند connection limit، rate limiting و stateful inspection استفاده کنید. این ویژگیها میتوانند تعداد اتصالات همزمان از یک آدرس IP را محدود کنند و از تلاشهای برای حمله DDoS جلوگیری کنند.
6. استفاده از Predefined Rules برای تسریع تنظیمات
MikroTik RouterOS برخی از قوانین پیشفرض را در خود دارد که میتوانید برای سرعت بخشیدن به فرآیند پیکربندی از آنها استفاده کنید. این قوانین شامل فیلتر کردن ترافیکهای ICMP، SSH، HTTP و سایر پروتکلهای شبکهای هستند. برای مثال، میتوانید یک rule برای مسدود کردن پورت 23 (Telnet) ایجاد کنید تا از دسترسی غیرمجاز جلوگیری شود.
این قوانین پیشساخته به شما کمک میکنند تا سریعتر فایروال خود را پیکربندی کنید و از تنظیمات استاندارد برای محافظت از شبکه استفاده کنید.
7. بررسی و تست قوانین پس از اعمال آنها
بعد از اعمال قوانین فایروال، باید اطمینان حاصل کنید که ترافیک به درستی فیلتر میشود و هیچ ترافیک نامطلوبی وارد یا خارج نمیشود. برای این کار، از ابزارهایی مانند Ping، Traceroute و Netwatch برای تست دسترسی به خدمات مختلف شبکه استفاده کنید.
همچنین، میتوانید از Log برای مشاهده جزئیات ترافیک عبوری و اعمال شده استفاده کنید. در صورت نیاز، تنظیمات فایروال خود را بازبینی کرده و اصلاحات لازم را انجام دهید.
نتیجهگیری
ایجاد Firewall Rules در MikroTik RouterOS یکی از مهمترین مراحل در مدیریت شبکه است. با استفاده از قوانین فایروال میتوانید ترافیک شبکه را بهطور دقیق کنترل کرده، از حملات امنیتی جلوگیری کنید و دسترسی به منابع شبکه را محدود کنید. Filter Rules، NAT و Mangle ابزارهایی هستند که میتوانید برای ایجاد قوانین فایروال با اهداف مختلف مانند مسیریابی ترافیک، ترجمه آدرسها و مدیریت پهنای باند استفاده کنید.
با داشتن قوانین فایروال صحیح و بهینه، میتوانید شبکه خود را در برابر تهدیدات مختلف ایمن کرده و عملکرد آن را بهبود بخشید.



