صفحه 1 از 2 12 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 , از مجموع 17

موضوع: آموزش میکروتیک (همه چیز در مورد میکروتیک)

  1. #1
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض آموزش میکروتیک (همه چیز در مورد میکروتیک)

    گام اول : اصول دیواره آتش ( فایروال ) میکروتیک




    از آنجاییکه که دیواره آتش میکروتیک از کرنل بهینه سازی شده لینوکسی بهمراه مجموعه NetFilter بهره می گیرد ، پس برای درک بهتر اصول و قوائد نحوه کار دیواره آتش میکروتیک باید اصول Netfilter در لینوکس مورد بررسی قرار گیرد.
    دیواره آتش میکروتیک متشکل از مجموعه ای از زنجیره ها و زنجیره ها تشکیل شده از چندین جدول با کاربرد مختلف می باشند.
    زنجیره های کلی عبارتند از :

    • زنجیره PreRouting


    • زنجیره Forward


    • زنجیره Input


    • زنجیره Outout


    • زنجیره PostRouting

    جدول های کلی شامل :

    • جدول Mangle


    • جدول Nat


    • جدول Filter

    نکته :
    تعداد زنجیره ها در لینوکس قابل افزایش هستند ولی در میکروتیک این امر امکان پذیر نیست.
    هر زمان بسته ای وارد میکروتیک شود ، از این زنجیره ها عبور کرده و در جدول ها مورد پردازش قرار می گیرد.
    لازمه ی دانستن چگونگی تنظیمات دیواره آتش میکروتیک داشتن درک خوب نسبت به مراحل گذر بسته ها از زنجیره ها و جدول های مختلف می باشد.
    مراحل گذر بسته در شکل زیرآورده شده است.
    شکل یک

    سوال مهم که در اینجا مطرح می شود اینست که بسته ها چگونه و از چه زنجیره هایی عبور می کنند؟
    در هنگام بررسی زنجیره ها می بایست به این نکته توجه داشته باشید که یک بسته از همه ی زنجیره ها عبور نمی کند و با توجه به این که بسته متعلق به خود سیستم می باشد یا سیستم دیگری ، مراحل عبور از زنجیره ها متفاوت می باشد.
    همانطور که در شکل مشخص شده است ، بلافاصله بعد از اینکه بسته ای به میکروتیک برسد ، فارغ از اینکه متعلق به کجاست و به کجا می رود ، ابتدا وارد زنجیره Prerouting می شود.بعد از این وارد مرحله مسیریابی شده و مقصد بعدی بسته و جهت حرکت بسته مشخص خواهد شد.
    • اگر بسته متعلق به سیستم دیگری باشد وارد زنجیره Forward شده وسپس زنجیره Postrouting را طی می کند.


    • اگر بسته متعلق به خود میکروتیک باشد ابتدا وارد زنجیره Input شده و پردازش های داخلی بر روی آن صورت می گیرد.


    • اگر آغازگر بسته ای خود میکروتیک باشد ابتدا وارد زنجیره Output شده و سپس زنجیره Postrouting را طی می کند.

    شکل 2
    اشتباه رایج اکثر افراد در این است که تصور می کنند زنجیره Input و Output بر روی بسته هایی که متعلق به میکروتیک نیست نیز اثرگذار است در حالیکه اگر به شکل 1 به دقت نگاه شود ،متوجه خواهید شد که برای بسته های عبوری، این دو زنجیره پردازشی صورت نخواهند داد.
    در شکل 2 مسیرهای مختلف توضیح داده شده در بالا با رنگ های متفاوت آورده شده است.
    • کاربرد جدول ها در زنجیره ها

    قبل از بررسی عملکرد جدول در زنجیره ها نیاز است که ساختار بسته ها را بخوبی بشناسید.مهمترین بخش بسته هدر می باشد که ساختار آن در شکل 3 آورده شده است.
    هدر در ابتدای بسته قرار می گیرد و شامل فیلدهایی می باشد که اطلاعات مربوط به بسته مانند آدرس مبدا و مقصد ، درگاه مبدا و مقصد و ... در آن قرار می گیرد.در واقع مسیریابها ،سوییچ ها و دیگر دستگاه ها با بررسی هدر بسته ها به اطلاعاتی راجب آنها دست پیدا می کنند و عملیات مورد نیاز را بر روی آنها انجام می دهند.
    شکل 3
    در زنجیره ها با بررسی آدرس مقصد در فیلد Destination Address زنجیره بعدی مشخص می شود و از فیلد Source Address مشخص کننده اینست که آغاز گر بسته میکروتیک یا سیستم دیگری در شبکه بوده است.
    • جدول Mangle

    جدول منگل در تعریف ساده برای دستکاری بسته ها مورد استفاده قرار می گیرد و سه هدف عمده را دنبال می کند :
    1. TOS
    2. TTL
    3. Mark

    TOS
    از طریق منگل می توان فیلد TOS ( Type of Service ) هدر بسته را تغییر داد. این تنظیم در اکثر روتر ها ، فایروال ها و ... بی تاثیر است مگر اینکه در سیاست های تنظیماتی در مسیریابی ، *****ینگ ، QOS و ... مورد استفاده قرار گیرد.

    TTL
    از طریق منگل می توان فیلد TTL ( Time To Live ) در هدر بسته را تغییر داد.فیلد TTL برای این منظور است که بسته های سرگردان بعد از مدتی از بین برند ،بدین ترتیب که بسته از هر روتر ( به اصطلاح HOP ) که عبور می کند ،یکی از مقدار TTL کم می شود تا نهایتا مقدار آن به صفر برسید و بسته از بین برود.
    در صورتیکه از TTL استفاده نمی شد ، حلقه هایی با تکرار بی نهایت اتفاق می افتاد که با گسترش سریع این حلقه ها ، به مرور کل شبکه از فعالیت باز می ایستاد.
    شکل 4
    یکی از کاربردهای تغییر TTL اینست که با تعییر TTL می توان عملیات هایی که در شبکه ما رخ می دهد را تا حدودی مخفی کرد.بعضی خرابکاران از طریق مقدار TTL به نوع سیستم عامل یا دستگاه های موجود در شبکه پی می برند یا سرویس دهندگان اینترنت از طریق TTL می توانند متوجه شوند که آیا سرویس گرفته شده بین چندین سیستم به اشتراک گذاشته شده است یا خیر.
    Mark
    جدول منگل این قابلیت را دارد که از طریق آن بسته ها را نشانه گذاری کرد و از این نشانه ها می توان در *****ینگ ، مسیریابی و کنترل پهنای باند استفاده کرد.



    • جدول NATَ

    جدول NAT ( Network Address Translation ) فقط برای ترجمه آدرس در بسته های مختلف مورد استفاده قرار می گیرد.ترجمه آدرس هم می تواند بر روی آدرس مبدا صورت پذیرد و هم بر روی آدرس مقصد.

    سه عملیات اصلی جدول NAT عبارت اند از :

    1. DNAT
    2. SNAT
    3. MASQUERADE


    DNAT
    عملیات DNAT ( Destination Netowrk Address Translation ) برای ترجمه آدرس مقصد بسته استفاده می شود.بیشترین کاربرد DNAT در محیط های DMZ می باشد.
    فرض کنید شبکه ای مطابق شکل 5 داشته باشید :
    شکل 5
    کاربری از طریق اینترنت می خواهد وبسایت شرکت واقع در شبکه داخلی با آدرس 10.1.10.100 را مشاهده کند ، ولی این آدرس خصوصی است و از طریق اینترنت قابل دسترسی نیست.
    راه حل این است که به کاربر، آدرس عمومی شبکه یعنی 200.150.10.3 که از اینترنت در دسترس است را داده و بر روی میکروتیک بوسیله DNAT آدرس مقصد یعنی 200.150.10.3 را به 10.1.10.100 ترجمه کرده تا وبسایت قابل مشاهده گردد.

    SNAT
    عملیات SNAT ( Source Network Address Translation ) بر خلاف DNAT برای ترجمه آدرس صورت مورد استفاده قرار می گیرد.زمانیکه سیستمی در شبکه داخلی بخواهد به منابع مختلف موجود در اینترنت از قبیل صفحات وب ، پست الکترونیکی ، سرورهای انتقال فایل و ... دسترسی داشته باشد ، باید از یک آدرس عمومی برای این منظور استفاده شود ، این در حالیست که سیستم در شبکه داخلی از آدرس خصوصی استفاده می کند ، پس باید آدرس خصوصی به یک آدرس عمومی ترجمه شود که به این عملیات SNAT گویند.
    علت استفاده از آدرس خصوصی در شبکه ها معمولا به دلایل امنیتی یا کمبود آدرس عمومی می باشد.


    شکل 6
    MASQUERADE
    عملیات MASQUERADE دقیقا همانند SNAT می باشد با این تفاوت که برای هر بار فرخوانی عملیات MASQUERADE برای یک بسته ، سیستم بصورت خودکار بدنبال آدرس عمومی که برای ترجمه مورد نیاز است ، می گردد.
    پس MASQUERADE بار و عملیات اضافی به سیستم تحمیل می کند ، هر چند امتیاز بزرگی نسبت به SNAT دارد و آن اینست که با هر بار تغییر آدرس عمومی ، تغییری در عملکرد سیستم به وجود نمی آید.
    بعضی از سرویس دهندگان از طریق DHCP ، PPPoE ، *** و ... اینترنت در اختیار مشترکان قرار می دهند که با هر قطع و وصل شدن ارتباط و سیستم ، آدرس عمومی تغییر خواهد کرد ، پس ناگریز به استفاده از MASQUERADE خواهید بود.

    • جدول Filter

    هدف اصلی در جدول Filter ، *****ینگ بسته ها بر اساس سیاست های امنیتی تعریف شده در مجموعه می باشد.در جدول ***** بسته هایی که اجازه عبور دارند و بسته های غیر مجاز که باید ***** شوند تعیین می شود.
    امکان ***** بسته ها بر اساس آدرس مبدا و مقصد ، درگاه مبدا و مقصد ، زمان عبور بسته ها ، وضعیت ارتباط ، محتوا ، TOS ، TTL، بسته های نشانه گذاری شده در منگل و بسیاری گزینه های دیگر وجود دارد.
    حال که اطلاعاتی در ارتباط با زنجیره ها و جدول های تشکیل دهنده آن کسب کردید ، مهترین نکته در استفاده از دیواره آتش میکروتیک ، انتخاب درست زنجیره و جدول مورد استفاده می باشد.این انتخاب با توجه به کارکرد مورد نظر و شناختی که بعد از معرفی زنجیره ، جدول و مسیر عبوری بسته ها بدست آوردید ، حاصل می شود.
    توجه داشته باشید که ترتیب قرار گیری جدول ها در زنجیره ها مهم می باشد ، همیشه در یک زنجیره اولیت با جدولی منگل سپس نت و در آخر ***** می باشد.



    • انتخاب زنجیره بر اساس جدول ها

    Filter
    برای ***** کردن زنجیره های Input , Output و Forward مورد استفاده قرار می گیرد.
    اگر مبدا و مقصد بسته سیستم دیگری جز میکروتیک می باشد از زنجیره Forward استفاده کنید.
    اگر مبدا بسته میکروتیک و مقصد سیستم دیگری باشد از زنجیره Output استفاده کنید.
    اگر مبدا بسته سیستم دیگر و مقصد میکروتیک باشد از زنجیره Input استفاده کنید.

    Nat
    اگر می خواهید عملیات SNAT یا MASQUERADE را بکار بگیرید ، از زنجیره POSTROUTING استفاده کنید.
    اگر می خواهید عملیات DNAT را بکار بگیرید ، از زنجیره PREROUTING استفاده کنید.

    نکته:
    در میکروتیک زنجیره Postrouting به SNAT و زنجیره Prerouting به DNAT تغییر نام یافته است.

    Mangle
    انتخاب زنجیره بر اساس جدول منگل مشکل تر از بقیه جدول ها می باشد و کاملا وابسته به کارکرد بسته ، دیگر قوانین تنظیم شده و ... دارد.این عدم قطعیت از آنجا ناشی می شود که جدول منگل در واقع یاری رسان دیگر جدول ها یعنی NAT و بخصوص Filter می باشد و بدون توجه به تنظیمات آنها نمی توان از منگل استفاده کرد.
    در صورتیکه می خواهید بسته را قبل از مسیریابی دستکاری کنید باید از زنجیره Prerouting استفاده کنید.

    همانطور که ترتیب جدول ها در زنجیره مهم می باشد ، در هنگام نوشتن قوانین باید به اولویت زنجیره ها که در شکل 1-2 بر اساس محل عبور بسته مشخص شده است ، نیز توجه کافی داشت.
    اگر اولویت قرارگیری و بررسی جدول ها و زنجیره ها مورد توجه قرار نگیرد ، احتمال آنکه قوانین نوشته شده بدرستی کار نکنند و تداخل ایجاد شود ، وجود خواهد داشت.
    فرض کنید بسته ای را در زنجیره Forward ***** کرده اید ، پس نشانه گذاری یا ترجمه آدرس آن در زنجیره Postrouting سودی نخواهد داشت.

  2. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  3. # ADS




     

  4. #2
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    گام دوم : بررسی گزینه های دیواره آتش ( فایروال ) میکروتیک


    در این گام برای آشنایی بیشتر با امکانات قابل استفاده , به بررسی گزینه های موجود در دیواره آتش میکروتیک خواهیم پرداخت.
    برای دسترسی به دیواره آتش میکروتیک، با استفاده از وینباکس ( نرم افزار مدیریتی میکروتیک ) به دستگاه وصل شده ، سپس مطابق شکل 1 از منوی اصلی ابتدا IP سپس Firewall را انتخاب کنید.
    شکل 1
    پنجره Firewall مطابق با شکل 2 باز خواهد شد.
    شکل 2
    بخش های اصلی دیواره آتش میکروتیک به قرار زیر است :

    • Layer 7 Protocol
    • Address Lists
    • Connections
    • Service Ports
    • Mangle
    • NAT
    • Filter Rules


    Layer7-Protocols
    Layer7Protocols یک روش جستجوی الگو در جریان داده UDP ,ICMP و TCP می باشد.
    تطبیق دهنده لایه هفتم، 10 بسته اولیه یا 2KB اولیه جریان ارتباطی را جمع آوری کرده و بدنبال الگوی مشخص شده در داده جمع آوری شده می گردد.تطبیق دهنده اگر الگو در داده جمع آوری شده پیدا نشد بررسی بیشتری انجام نخواهد داد.حافظه اختصاص داده شده به این امر خالی شده و پروتکل بعنوان ناشناخته در نظر گرفته می شود.باید به این نکته توجه داشته باشید که مصرف حافظه با افزایش تعداد ارتباطات بطور قابل توجهی بیشتر خواهد شد.
    تطبیق دهنده لایه هفتم به دو طرف ارتباط ( ورودی و خروجی ) برای بررسی بسته ها نیاز دارد،بدین منظور باید قانون های لایه هفتم را در زنجیره Forward قرار دهید.اگر قانون در زنجیره Prerouting جدول INPUT قرار گرفت ، باید مشابه همین قانون را در زنجیره Postrouting جدول Output ایجاد کنید،در غیر اینصورت داده جمع آوری شده ممکن است در تبطیق دادن الگو نیتجه نتیجه اشتباهی در بر داشته باشد.

    Address Lists
    Address Lists یکی از ویژگی های خوب و کاربردی میکروتیک می باشد ،با استفاده از لیست آدرس می توان بصورت دستی و خودکار لیستی از آدرس ها تهیه کرد تا هنگام استفاده نوشتن قوانین از آنها بهره جست.
    شکل 3
    مزیت لیست آدرس در کمتر شدن و ساده تر شدن قوانین می باشد.بدین صورت که اگر بخواهید برای چندین کاربر دسترسی مشترکی را محدود یا باز کنید، در حالت عادی باید به ازای هر کاربر یک قانون ایجاد کنید ولی در این حالت کافیست ، یک لیست آدرس ایجاد ، آدرس کاربران را به آن اضافه کرده و در قانون ها بجای آدرس مبدا یا مقصد از لیست آدرس مبدا یا مقصد که متعلق به گزینه های پیشرفته می باشد ، استفاده کنید.
    با استفاده از لیست آدرس خودکار می توان ، آدرس ها را بصورت خودکار به لیست اضافه کرد ، برای این منظور کافیست در تب Action قانون، گزینه Add dst to address list برای ارسال مقصد بسته ها و Add src to address list برای ارسال مبدا بسته ها به لیست آدرسی که در زیر آن مشخص می شود ، استفاده کرد.
    می توانید ابتدا یک قانون برای ایجاد لیست آدرس خودکار ایجاد کرده و سپس عملیات مورد نظر را بر روی لیست آدرس انجام دهید..
    لیست آدرس در آنالیز شبکه هم قابل استفاده است ، برای مثال تهیه لیستی شامل تمامی کاربرانی که از سرویس SSH استفاده می کنند یا سرورهایی که آنها به آن متصل می شوند را با لیست آدرس خودکار می توان بدست آورد.

    Connections
    از طریق تب Connections می توانید لیست کلیه ارتباط هایی که با میکروتیک برقرار شده است را بر اساس آدرس مبدا و مقصد ، نوع پروتکل و مدت زمان فعال بودن ارتباط مشاهده کنید.
    شکل 4
    Service Ports
    سرویس هایی وجود دارند که در صورت فعال شدن نت بدلیل احتیاج به ارتباط واقعی پایاپای بدرستی کار نخواهند کرد،برای حل این مشکل میکروتیک از خاصیت NAT Traversal برای چند سرویس خاص استفاده می کند.
    شکل 5

    Filter , NAT, Mangle
    در پنجره Firewall ، سه جدول اصلی که قبلا مفاهیم آنها مورد بررسی قرار گرفت وجود دارند. در این پنجره می توان لیست قانون هایی که قبلا نوشته شده اند را در تب های مختلف مشاهده و ویرایش کرد.
    شکل 6
    برای اضافه کردن قانون جدید بر روی علامت “+” کلیک کنید تا پنجره New Manage Rule باز شود. گزینه ها در سه دسته عمومی ، پیشرفته و اضافی تقسیم بندی شده اند.
    این گزینه ها در هر سه جدول NAT , Mangle و Filter یکسان می باشند و فقط در جدول نت P2P وجود ندارد.این گزینه ها را در شکل های 7 ، 8 ، 9 می توانید مشاهده کنید.
    شکل 7
    نیاز به یادآوری است که دانستن ساختار بسته ها ، یکی از ملزومات تنظیم دیواره آتش می باشد.اکثر گزینه های موجود با دانش نسبت به این ساختار، کاربردی و قابل استفاده خواهند بود.
    در دسته عمومی ، گزینه ها شامل نوع زنجیره ، آدرس مبدا و مقصد ، نوع پروتکل ، درگاه مبدا و مقصد ، اینترفیس ورودی یا خروجی ، بسته و ارتباطات قبلا نشانه گذاری شده و وضعیت ارتباط می باشد.
    گزینه های دسته پیشرفته در بر گیرنده ، لیست آدرس مبدا یا مقصد ، پروتکل لایه هفتم ، محتوای خاص در آدرس ، آدرس سخت افزاری ، TOS ، TTL و ... می باشد.
    شکل 8
    دسته اضافی شامل گزینه هایی همچون تنظیم زمان برای فعال شدن قانون بر اساس ساعت و روزهای هفته ، نوع آدرس از قبیل Broadcast , Unicast , Multicast و Local ، محدود کردن تعداد ارتباطات و ... می باشد.
    شکل 9
    عملیات های قابل انجام توسط منگل در تب Action شکل 10 لیست شده اند. باید توجه داشت که هر قانون فقط یک عمل در آن واحد قادر است انجام دهد.پس برای عملیات های متفاوت باید قوانین مجزا ایجاد کنید.
    شکل 10
    عملیات های قابل انجام توسط جدول ***** در شکل زیر آورده شده است.
    شکل 11
    و در آخر لیست عملیات های جدول ***** در ادامه قابل مشاهده است.
    شکل 12
    عملیات های مشترک بین همه جدول ها عبارت اند از :

    • Accept : قبول کردن بسته ، بسته در قانون های بعدی بررسی نمی شود.
    • Add dst to address list : اضافه کردن آدرس مقصد به لیست آدرس مشخص شده
    • Add src to address list : اضافه کردن آدرس مبدا به لیست آدرس مشخص شده
    • Jump : پرش به زنجیره مشخص شده
    • Log : فرستادن پیغامی حاوی قانون تطبیق داده شده با فرمت خاص به سیستم ثبت وقایع
    • Passthrough : در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد، بیشتر برای آمارگیری )
    • Return : برگردان کنترل به زنجیره در جایی که پرش صورت گرفته


    عملیات های غیرمشترک جدول ***** متشکل شده از :

    • Drop : رها کردن بسته بدون ارسال پیغام
    • Reject : رها کردن بسته همراه با ارسال یک پیغام ICMP Reject
    • Tarpit : ضبط و نگهداری ارتباطات TCP ( کاربرد در کم کردن اثر حملات DOS )


    عملیات های غیرمشترک جدول نت بقرار زیر است :

    • Src-NAT : ترجمه آدرس مبدا بسته به آدرس مشخص شده
    • Dst-NAT : ترجمه آدرس مقصد بسته به آدرس مشخص شده
    • MASQUERADE : ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم
    • Redirect : جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده
    • Same
    • Netmap


    عملیات های غیرمشترک جدول منگل عبارت اند از :


    • Change DSCP ( TOS ) : تغییر مقدار فیلد TOS بسته
    • Change TTL : تغییر مقدار فیلد TTL بسته
    • Change MSS : تغییر مقدار فیلد Maximum Segment Size بسته
    • Clear DF : پاک کردن بیت Don’t Fragment (کاربرد در تانل IPSEC )
    • Mark Connection : نشانه گذاری ارتباط
    • Mark Packet : نشانه گذاری بسته ( کاربرد در کنترل پهنای باند )
    • Mark Routing : نشانه گذازی مسیر ( کاربرد در عملیات مسیریابی پیشرفته )
    • Set Priority : تغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.
    • Strip IPv4 Options


    تب Statistics نیز آماری از میزان ترافیک و تعداد بسته هایی که این قانون شامل حال آنها می شود را بصورت عددی و گراف در اختیار ما قرار می هد.از طریق این تب می توان درستی قانون نوشته شده را مورد بررسی قرار داد. شکل 13 گویای این موضوع می باشد.

  5. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  6. #3
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client )




    در این آموزش به نحوه تنظیمات اولیه یک سیستم میکروتیک برای اتصال به شبکه پرداخته خواهد شد.این تنظیمات عبارت اند از :

    1. تنظیم آدرس IP
    2. تنظیم دروازه پیش فرض (Default Gateway )
    3. تنظیم سرور DNS
    4. تنظیم ساعت و تاریخ
    5. تنظیم PPPoE Client
    6. تنظیم DHCP Client
    7. آموزش تصویری


    1-تنظیم آدرس IP در میکروتیک

    برای تنظیم آدرسIP در صورت داشتن چندین اینترفیس باید اینترفیسی که مد نظر است و باید IP بر روی آن تنظیم شود , مشخص کنید.
    برای این منظور اگر روتر بورد در اختیار دارید به شماره پورت دقت کنید یا اگر نام اینترفیس ها تغییر کرده است یا میکروتیک بر روی سروری با چندین کارت شبکه نصب شده است, همه کابل ها را از میکروتیک قطع کرده و از طریق Winbox یا ترمینال, اینترفیسی که به حالت Running هست را پیدا کنید.

    • تشخیص اینترفیس برای تنظیم IP


    با استفاده از دستور interface print خروجی همانند زیر را خواهید داشت.

    [behroozi@PersianAdmins] > interface print
    Flags: D - dynamic, X - disabled, R - running, S - slave
    # NAME TYPE MTU
    0 R ether1 ether 150
    1 ether2 ether 150
    2 ether3 ether 150
    مشاهده از طریق وینباکس
    اینترفیس که به شبکه متصل است با R مشخص شده است , پس آدرس باید بر روی ether1 تنظیم شود.
    پیش فرض ها :
    آدرس IP میکروتیک : 1.1.1.2/24
    دروازه پیش فرض : 1.1.1.1
    DNS سرورها : 4.2.2.4 و 8.8.8.8


    • اختصاص آدرس IP از طریق Winbox


    حال که اینترفیس مورد نظر مشخص شد آدرس IP را تنظیم کنید.
    قدم اول
    قدم دوم
    قدم سوم

    • اختصاص آدرس IP از طریق ترمینال

    برای اضافه کردن آدرس IP بدین ترتیب عمل کنید :

    ip address add interface=ether1 address=1.1.1.1/24 مشاهده کلیه آدرس IP های تنظیم شده :

    [behroozi@PersianAdmins] > ip address print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 1.1.1.1/24 1.1.1.0 1.1.1.255 ether1 برای حذف آدرس تنظیم شده , می بایست ابتدا از آدرس ها همانند بالا خروجی بگیرید و سپس با توجه به شماره ذکر شده برای آدرس ها , به ترتیب زیر عمل کنید :

    ip address remove 0
    بالا
    2-تنظیم دروازه پیش فرض (Default Gateway ) در میکروتیک
    برای دسترسی به میکروتیک از دوردست و رنج آدرس های دیگر می بایست بر روی میکروتیک Default Gateway تنظیم شود.برای این منظور به طریق زیر عمل کنید :


    • تنظیم Default Gateway از طریق وینباکس


    قدم اول
    قدم دوم
    مشاهده تنظیمات
    • تنظیم Default Gateway از طریق ترمینال


    اضافه کردن :

    ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1
    مشاهده کلیه مسیرها :

    [behroozi@PersianAdmins] > ip route print
    Flags: X - disabled, A - active, D - dynamic,
    C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
    B - blackhole, U - unreachable, P - prohibit
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 A S 0.0.0.0/0 1.1.1.1 1
    1 ADC 1.1.1.0/24 1.1.1.2 ether1 0
    حذف یک مسیر :

    ip route remove 0 بالا
    3-تنظیم سرور DNS در میکروتیک

    برای تبدیل دامنه به IP سرور DNS را بر روی میکروتیک تنظیم می کنیم.فرضا برای اینکه بتوانید از منوی Tools --> Ping بتوانید Yahoo.com را ping کنید ،می بایست سرور DNS بر روی میکروتیک تنظیم شده باشد.

    • تنظیم سرور DNS از طریق وینباکس

    قدم اول
    قدم دوم

    • تنظیم سرور DNS از طریق ترمینال

    میکروتیک نسخه های 5 به قبل :

    ip dns set primary-dns=4.2.2.4
    ip dns set secondary-dns=8.8.8.8
    میکروتیک نسخه های 5 به بعد :

    ip dns set servers=4.2.2.4,8.8.8.8
    مشاهده تنظیمات DNS :

    [behroozi@PersianAdmins] > ip dns print
    servers: 4.2.2.4,8.8.8.8
    allow-remote-requests: no
    max-udp-packet-size: 512
    cache-size: 2048KiB
    cache-max-ttl: 1w
    cache-used: 8KiB

    بالا
    4-تنظیم ساعت و تاریخ در میکروتیک

    گاهی نیاز است از عملیاتی استفاده کنید که به زمان و تاریخ وابسته اند فرضا کنترل پهنای باند بر اساس ساعت یا روز های هفته،برای این منظور می بایست زمان و تاریخ میکروتیک بدرستی تنظیم شده باشید.
    زمان و تاریخ بعد از هر بار Reboot میکروتیک از بین خواهد رفت،پس باید از NTP Client استفاده کنید تا زمان میکروتیک را با یک Time server هماهنگ کند،اگر میکروتیک به اینترنت متصل است می توانید از سرور 4.2.2.4 برای این منظور استفاده کنید،اگر در شبکه خود از Active Directory استفاده می کنید می توانید از آدرس این سرور هم برای NTP کلاینت استفاده کنید در غیر این صورت نیاز است که یک NTP سرور برای شبکه خود راه اندازی کنید.

    • تنظیم ساعت و تاریخ از طریق وینباکس


    قدم اول
    قدم دوم
    قدم سوم

    • تنظیم ساعت و تاریخ از طریق ترمینال



    system clock set time-zone-name=Asia/Tehran
    system ntp client set enabled=yes primary-ntp=4.2.2.4 mode=unicast
    مشاهده تنظیمات :

    [behroozi@PersianAdmins] >system clock print
    time: 01:15:12
    date: jun/11/2011
    time-zone-name: Asia/Tehran
    gmt-offset: +04:30
    dst-active: yes

    بالا
    5-تنظیم PPPoE Client در میکروتیک
    اکثر اوقات برای اتصال به اینترنت نیاز است که از یک ارتباط PPPoE استفاده کنید،برای این منظور یک کانکشن PPPoE بر روی میکروتیک ایجاد کنید.
    پیش فرض ها :
    نام کاربری : behroozi
    پسورد : reza
    اینترفیس متصل به مودم یا رادیو : ether1

    • تنظیم PPPoE کلاینت از طریق وینباکس

    قدم اول
    قدم دوم
    قدم سوم
    Use Peer DNS از سرور های DNS ای که سرور PPPoE معرفی می کند استفاده خواهد کرد.
    Add Default Route مسیر پیش فرض ( Default Gateway ) را اینترفیس PPPoE Client قرار می دهد.
    Dial On Demand فقط زمانی که نیاز باشد اقدام به برقراری ارتباط و ایجاد کانکشن PPPoE می کند.

    • تنظیم PPPoE کلاینت از طریق ترمینال


    interface pppoe-client add interface=Wireless add-default-route=yes use-peer-dns=yes user=behroozi password=reza profile=default disabled=no
    6-تنظیم DHCP Client
    گاهی نیاز است که کلیه تنظیمات از قبیل آدرس IP , DNS , Gateway , زمان و ... از طریق سرور DHCP بر روی میکروتیک تنظیم شود.در اینصورت دیگر نیازی به طی مراحل بالا نیست!.
    شما باید اینترفیسی که DHCP Client بر روی آن تنظیم خواهد شد، را مشخص کنید.

    • تنظیم DHCP Client از طریق وینباکس

    قدم اول
    قدم دوم
    Use Peer DNSاز سرور های DNS ای که سرور DHCP معرفی می کند استفاده خواهد کرد.
    Use Peer NTP از تنظیمات زمان و تاریخ معرفی شده بر روی سرور DHCP بهره می برد.
    Add Default Route امکان ساخت مسیر پیش فرض ( Default Gateway ) در صورت خواست سرور DHCP را می دهد.
    مشاهده تنظیمات

    • تنظیم DHCP Clientاز طریق ترمینال


  7. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  8. #4
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    راه اندازی سرویس SNMP در میکروتیک






    استفاده از ابزارهای نظارتی ( مونیتورینگ ) در زمره کارهای روزمره مدیران و پشتیبانان شبکه های کامپیوتری می باشد.به منظور استفاده از ابزارهای نظارتی معمولا از پروتکل SNMP (Simple Network Management Protocol ) استفاده می شود و با توجه به گستردگی استفاده از میکروتیک در ایران به آموزش شیوه فعال کردن SNMP در میکروتیک می پردازیم.
    اصول کلی تنظیمات در میکروتیک های نسخه های مختلف یکسان است ولی شکل و نوع گزینه ها ممکن است متفاوت باشد.

    • در اولین قدم نیاز است که به منوی SNMP بروید :

    در میکروتیک های قدیمی گزینه SNMP در منوی های اصلی مطابق شکل قرار دارد.
    اما در میکروتیک های جدید منوی SNMP زیر مجموعه IP می باشد،پس برای دسترسی به آن مطابق شکل زیر ابتدا به منوی IP سپس SNMP بروید.
    • قدم بعدی فعال کردن سرویس SNMP می باشد.بدین منظور در پنجره SNMP Server بر روی SNMP Settings کلیک کنید و در پنجره SNMP Settings تیک Enabled را زده و OK کنید.

    در میکروتیک های قدیمی مطابق شکل زیر می باشد.
    و در میکروتیک های جدید
    • و در آخر SNMP Community مورد نظر خود را که باید در ابزار نظارتی خود اضافه کنید ،ایجاد می کنیم.

    برای این منظور در پنجره SNMP Server بر روی + کلیک کرده و در پنجره New SNMP Community مطابق شکل در فیلد Name نام ارتباطی مد نظر خود و در فیلد Address تک آدرس یا رنج آدرسی که قادر به اتصال به سرویس SNMP میکروتیک با Community مورد نظر می باشد را انتخاب کنید(برای امنیت بیشتر بهتر است این مورد آدرس سرور نظارتی باشد) و تیک گزینه Read Access را بزنید و OK کنید.
    میروتیک قدیمی :
    میکروتیک جدید :
    توجه :
    گزینه جدید اضافه شده از قبیل Authentication و Encryption مربوط به SNMP نسخه 3 می باشد،در صورت نیاز می بایست در SNMP Setting نسخه 3 را انتخاب کنید.(اطلاعات بیشتر در مورد SNMP نسخه 3)
    SNMP Security Models and Levels Tables
    Model
    Level
    Authentication Encryption
    What Happens
    v1 noAuthNoPriv
    Community String
    No Uses a community string match for authentication.
    v2c noAuthNoPriv Community String No Uses a community string match for authentication.
    v3 noAuthNoPriv Username No Uses a username match for authentication.
    v3 authNoPriv MD5 or SHA No Provides authentication based on the HMAC-MD5 or HMAC-SHA algorithms.
    v3 authPriv MD5 or SHA DES Provides authentication based on the HMAC-MD5 or HMAC-SHA algorithms. Provides DES 56-bit encryption in addition to authentication based on the CBC-DES (DES-56) standard.

    نکته:
    در بعضی ابزارهای نظارتی ،OID ها بصورت خودکار به برنامه اضافه نمی شود و ما نیازمند داشتن OID برای داشتن گراف از منبع مورد نظر هستیم.
    برای این منظور در ترمینال میکروتیک بعد از دستور Print عبارت oid را وارد کنید.
    در زیر چند نمونه خروجی آورده شده است:
    reza@PersianAdmins] > queue simple print oid
    Flags: X - disabled, I - invalid, D - dynamic
    0 name=.1.3.6.1.4.1.14988.1.1.2.1.1.2.8397
    bytes-in=.1.3.6.1.4.1.14988.1.1.2.1.1.8.8397
    bytes-out=.1.3.6.1.4.1.14988.1.1.2.1.1.9.8397
    packets-in=.1.3.6.1.4.1.14988.1.1.2.1.1.10.8397
    packets-out=.1.3.6.1.4.1.14988.1.1.2.1.1.11.8397
    queues-in=.1.3.6.1.4.1.14988.1.1.2.1.1.12.8397
    queues-out=.1.3.6.1.4.1.14988.1.1.2.1.1.13.8397

    1 D name=.1.3.6.1.4.1.14988.1.1.2.1.1.2.8987
    bytes-in=.1.3.6.1.4.1.14988.1.1.2.1.1.8.8987
    bytes-out=.1.3.6.1.4.1.14988.1.1.2.1.1.9.8987
    packets-in=.1.3.6.1.4.1.14988.1.1.2.1.1.10.8987
    packets-out=.1.3.6.1.4.1.14988.1.1.2.1.1.11.8987
    queues-in=.1.3.6.1.4.1.14988.1.1.2.1.1.12.8987
    queues-out=.1.3.6.1.4.1.14988.1.1.2.1.1.13.8987


    [reza@PersianAdmins] > interface print oid
    Flags: D - dynamic, X - disabled, R - running, S - slave
    0 R name=.1.3.6.1.2.1.2.2.1.2.6 mtu=.1.3.6.1.2.1.2.2.1.4.6
    mac-address=.1.3.6.1.2.1.2.2.1.6.6 admin-status=.1.3.6.1.2.1.2.2.1.7.6
    oper-status=.1.3.6.1.2.1.2.2.1.8.6 bytes-in=.1.3.6.1.2.1.2.2.1.10.6
    packets-in=.1.3.6.1.2.1.2.2.1.11.6 discards-in=.1.3.6.1.2.1.2.2.1.13.6
    errors-in=.1.3.6.1.2.1.2.2.1.14.6 bytes-out=.1.3.6.1.2.1.2.2.1.16.6
    packets-out=.1.3.6.1.2.1.2.2.1.17.6 discards-out=.1.3.6.1.2.1.2.2.1.19.6
    errors-out=.1.3.6.1.2.1.2.2.1.20.6

    1 R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7
    mac-address=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7
    oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7
    packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7
    errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7
    packets-out=.1.3.6.1.2.1.2.2.1.17.7 discards-out=.1.3.6.1.2.1.2.2.1.19.7
    errors-out=.1.3.6.1.2.1.2.2.1.20.7

    [reza@PersianAdmins] > system resource print oid
    uptime: .1.3.6.1.2.1.1.3.0
    total-hdd-space: .1.3.6.1.2.1.25.2.3.1.5.131073
    used-hdd-space: .1.3.6.1.2.1.25.2.3.1.6.131073
    total-memory: .1.3.6.1.2.1.25.2.3.1.5.65536
    used-memory: .1.3.6.1.2.1.25.2.3.1.6.65
    536

  9. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  10. #5
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    پاک کردن دوره ای لاگ های User Manager





    یکی از امکانات خوب میکروتیک برای سازمان ها و شرکت ها با کاربر کم یا متوسط و نیازمند حسابداری اینترنت با امکانات محدودتر نسبت به نرم افزارهای مشابه حرفه ای User Manager می باشد که بر روی میکروتیک نصب می شود و نیازمند سیستم مجزا نمی باشد.
    این نرم افزار خوب و گاها بسیار کارگشا در مواردی برای میکروتیک مشکلاتی ایجاد می کند که می بایست با نوشتن اسکریپت های خاص آن موضوع مشکلات را به حداقل رساند.
    در این آموزش به یکی از این مشکلات که پر شدن هارد و اشغال شدن CPU به سبب حجم بالای لاگ های User Manager است می پردازیم.
    در بسیاری موارد نیروهای پشتیبان برای پاسخگویی به کاربران و پیدا کردن مشکلات اهراز هویت و ... به لاگ های Authorisation & Authorisation & Accounting در User Manager نیازمند می باشند،در صورت فعال شدن این لاگ ها بعد از مدتی با زیاد شدن تعداد لاگ ها حجم هارد را تماما اشغال می کند و بار بر روی CPU را به شدت افزایش می دهد.
    مراحل انجام کار :

    • ساخت اسکریپت

    مطابق عکس بالا در Winbox به System>Scripts رفته و اسکریپتی به نام Rm_UM_log با منبع زیر ایجاد کنید.
    :local Flag
    :set Flag [/tool user-manager log find]
    :if ([:len $Flag] > 0) do={/tool user-manager log print append file log;/tool user-manager log remove [/tool user-manager log find];}


    • نوشتن زمانبندی

    مطابق عکس بالا زمانبدی را ایجاد کنید یا دستورات زیر را در ترمینال وارد کنید.


    /system scheduler
    add name="Rm-U-log" on-event="Rm_UM_log" start-date=Sep/15/2010 start-time=07:30:00 interval=7d comment="" disabled=no

    در قسمت on-event اسم اسکریپت ایجاد شده می بایست وارد شود.
    نکته :
    حتما NTP Client را فعال کنید تا ساعت و تاریخ میکروتیک بعد از Reboot تغییر نکند.
    ---------------
    پاورقی :
    در صورت نیاز به حذف Session ها ،تمام مراحل مطابق با آموزش ذکر شده در بالا می باشد و فقط در قسمت ساخت اسکریپت از منبع زیر استفاده کنید :
    :local Flag
    :set Flag [/tool user-manager session find]
    :if([:len $Flag]>0) do={/tool user-manager session print; /tool user-manager session remove [/tool user-manager session find];}

  11. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  12. #6
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک





    در این آموزش سیستم عامل میکروتیک را در سه مرحله آسان ارتقا می دهیم :
    برای نمونه در اینجا من سیستم عامل یک RB750 را از نسخه 4.3 به 4.5 ارتفا می دهم.

    مرحله اول :
    دانلود بسته Compined package از سایت میکروتیک :
    برای این منظور به این آدرس رفته
    MikroTik Routers and Wireless
    و بسته به نوع روتربورد یا PC فایل مورد نظر را مطابق شکل دانلود کنید.

    مرحله دوم :
    فایل combined package را بواسطه FTP یا Winbox به میکروتیک انتفال دهید.
    در صورت استفاده از وین باکس به منوی Files رفته ، سپس فایل را در ویندوز خود انتخاب و به داخل پنجره Files بکشید.

    مرحله سوم :
    میکروتیک را Reboot کنید.

    آموزش تصویری ارتقای سیستم عامل میکروتیک
    لینک پشتیبان

    نکته :
    شیوه ارتقا سیستم عامل میکروتیک در سیستم های نصب شده بر روی PC یا روتربورد یکسان است.
    نکته مهم :
    بعد از بروزرسانی 72 ساعت وقت دارید تا لایسنس میکروتیک را آپدیت کنید،سعی کنید این کار را بلافاصله انجام دهید.
    برای این منظور باید میکروتیک اینترنت داشته باشد،سپس از منوی System به License رفته و بر روی Update License Key کلیک کنید.

  13. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  14. #7
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    برنامه کیل کاربران *** و pppoe میکروتیک توسط NTTacPlus





    برنامه کیل کاربران NTTacPlus برای RAS میکروتیک آماده شده که در اینجا لینک دانلود و شیوه استفاده از آن را ذکر می کنم.
    دانلود :
    سرور1

    کپی رایت برنامه برای سایت PersianAdmins و برنامه نویسان آن فرشاد افسر و رضا بهروزی محفوظ است.


    شیوه کار برنامه :
    mikrokill.exe mikrotik-ip-address mikrotik-username mikrotik-password ssh-port user-for-kill
    برنامه برای اجرا شدن نیاز به 5 ورودی دارد که به ترتیب آدرس IP میکروتیک ، نام کاربری میکروتیک ، پسورد میکروتیک ، پورت SSH (پیش فرض 22 می باشد ) و در آخر نام کاربری که می بایست از سرور قطع شود.
    تنظیمات میکروتیک :
    برنامه Mikrokill توسط پروتکل SSH به میکروتیک وصل شده و کاربر منقضی شده زمانی یا حجمی را قطع می کند.
    این امکان در برنامه قرار داده شده است که در صورت صلاحدید پورت SSH را جز پورت 22 هم قرار دهید.
    توصیه می شود کاربر جدیدی برای این برنامه ایجاد کنید ولی دسترسی آن را به سرور Accounting محدود کنید به شیوه زیر :
    /user add name=nttac password=Passw0rd group=full address=192.168.100.2 netmask=255.255.255.255

    کاربری به اسم nttac و پسورد Passw0rd ساخته شد که فقط سرور اکانتیگ به آدرس 192.168.100.2 اجازه ورود با این نام کاربری را دارد.

    تنظیمات NTTacPlus :
    برنامه mikrokill را در پوشه NTTacPlus2\External\ کپی کنید سپس به کنسول برنامه وارد شده ، F8 را بزنید یا به منوی Tools سپس Options بروید.در این پنجره به تب kill رفته و در kill command configuration بر روی خطی که با default شروع می شود کلیک کرده و remove کنید.سپس عبارت فیلد Command line را با عبارت زیر جایگزین کرده و بر روی Add کلیک کنید.
    ".\External\mikrokill.exe 192.168.100.1 nttac Passw0rd 22 $username"

    در Command Configuration عبارت جدید بدین شکل نمایان خواهد شد :

    default=".\External\mikrokill.exe 192.168.100.1 nttac Passw0rd 22 $username"

    نکته مهم :
    2 گزینه

    • Kill user when exceeding his time credit
    • Kill user when time quota is over

    می بایست در پروفایل کاربر یا گروهی که کاربر متعلق به آن است در تب Credits فعال شود.

  15. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  16. #8
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    آموزش تصویری MikroTik DNS & Web Cache



    WebCache یک روش مرسوم برای صرفه جویی در پهنای باند است.
    در کل Cache را وقتی به کار می بریم که یه مخزن بر سر راه یک خط عبور دیتا داشته باشیم که این اطلاعات در یک قالب و قانون خاص در این مخزن ذخیره شوند و در صورت نیاز دوباره به اطلاعات فوق به جای درخواست از منبع اصلی راه را کوتاه تر کرده و از مخزن این اطلاعات سرو میشوند. که به دلیل کوتاه شدن راه می توانیم مقدار قابل ملاحظه ای در مصرف پهنای باند صرفه جویی کنیم. WebCache یک روش مرسوم برای صرفه جویی در پهنای باند است.
    در کل Cache را وقتی به کار می بریم که یه مخزن بر سر راه یک خط عبور دیتا داشته باشیم که این اطلاعات در یک قالب و قانون خاص در این مخزن ذخیره شوند و در صورت نیاز دوباره به اطلاعات فوق به جای درخواست از منبع اصلی راه را کوتاه تر کرده و از مخزن این اطلاعات سرو میشوند. که به دلیل کوتاه شدن راه می توانیم مقدار قابل ملاحظه ای در مصرف پهنای باند صرفه جویی کنیم.

    در رابطه با استفاده از اینترنت ما میتوانیم از 2 نوع cache مرسوم استفاده کنیم. به دلیل اینکه امروزه بیشتر استفاده اینترنت را Web به خود اختصاص می دهد و هر Web دارای یک آدرس است که اغلب میبایست از DNS Server ها برای یافتن آنها استفاده کنیم ما در شبکه های خود از DNS Cache و Web Cache استفاده مینمائیم.
    به دلیل اینکه MikroTik اخیرا تبدیل به Gateway خیلی از ISP ها شده است بر آن شدیم تا آموزشی برای Cache Server بر روی این پلتفرم تهیه کنیم که امید است مورد استفاده بازدید کنندگان محترم قرار گیرد.

  17. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  18. #9
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    میکروتیک - بخش اول - معرفی





    MikroTik یک سرور مبتنی بر kernel لینوکس است که بر روی یک pc معمولی قابل نصب و سرویس دهی به صورت کاملا پایدار است.
    MikroTik ویژگی های زیادی دارد که برخی از آنها را ذکر میکنیم.
    یکی از ویژگی های MikroTik این است که اکثر سرویسهای آن مانند NAT , Bandwidth Manager , Filtering و ... بر روی Layer3 انجام می پذیرد و به همین دلیل نیازی به لایه های بالاتر ندارد که این خود مقدار قابل توجهی در بالا بردن کیفیت و performance سیستم تاثیر دارد. این امر به ما این امکان را می دهد که بر روی یک pc معمولی به عنوان مثال یک کامپیوتر Pentium 2 با 64M فضای RAM مقدار زیادی پهنای باند را رد کرده و اعمالی مثل NAT و Filtering روی آنها انجام دهیم.
    در واقع MikroTik از pc های ما یک router کارآمد می سازد و این امکان را به ما می دهد که به آسانی بر روی آن پورتهای مختلف را اضافه و کم کنیم.

    یکی دیگر از ویژگی های MikroTik پایداری آن است. MikroTik همانند یک روتر قوی از سرعت بوت بالا و عملکرد خودکار بدون نیاز به هیچ گونه login یا استارت کردن هر نوع سرویس بر خوردار است.
    علاوه بر دسترسی محلی می توان MikroTik را به وسیله Telnet و SSH و Web server داخلی آن و رابط ویندوزی ارائه شده به همراه MikroTik به نام Winbox تنظیم کرد.
    دیگر قابلیت قابل توجه MikroTik سرعت نصب و سرعت تنظیمات آن است. MikroTik در عرض چند دقیقه نصب و براحتی تنظیم میشود و این قابلیت در آن وجود دارد که بتوان تنظیمات آن را Import و Export کرد.
    دیگر نقطه قوت MikroTik به صرفه بودن آن نسبت به نمونه های مشابه سخت افزاری است. با خرید یک عدد RouterOs و یک سرور با قدرتی متناسب با کار ما میتوانیم کارایی گرانفیمت ترین سخت افزارهارا با چندین برابر هزینه کمتر داشته باشیم. البته بماند که ما اکثرا از ورژن های کرک شده استفاده کرده و آنچنان پهنای باندی نداریم که بیشتر از یک کامپیوتر P3 نیاز شود.
    در ادامه بعد از توضیح و آموزش NAT, Filtering توسط MikroTik به یک مثال برای یادگیری بیشتر خواهیم پرداحت.

    NAT:

    NAT یا Network Address Translation یک استاندارد در اینترنت است که به کامپیوتر های داحل یک شبکه این اجازه را می دهد که از یک رنج IP برای ارتباط داخلی و از یک رنج دیکر برای ارتباط خارجی استفاده کنند. به شبکه داحلی که از NAT استفاده می کند اصطلاحا Natted Network می گویند. برای ایجاد NAT باید در شبکه داخلی یک عدد NAT gateway داشته باشیم که ترجمه آدرسها در آن صورت گیرد.

    در کل 2 نوع NAT وجود دارد

    · SRCNAT یا Source Nat :
    از این فرم Nat وقتی استفاده میکنیم که می خواهیم IP های Invalid یک شبکه داخلی یا Natted Network را به یک Valid IP ترجمه کنیم.در این حالت هر پکتی که به gateway برسد IP آن به یک Valid IP ترجمه گشته و بر روی اینترنت ارسال می شود. عکس این عمل برای پکت هایی که به پکت های قبلی Reply می شوند صادق است و عکس این عمل صورت میگیرد.


    · DSTNAT یا Destination Nat :
    این فرم NAT را وقتی انجام می دهیم که بخواهیم یک شبکه private را برای شبکه public خود قابل دسترسی قرار دهیم. در این عمل Valid IP خود را به Invalid IP ترجمه میکنیم.


    Redirect و Masquerade

    Redirect و Masquerade یک نوع خاص dstnat و srcnat است. Redirect یک نوع از dstnat است که نیازی به تعریف to-address ندارد و تنها شناساندن اینترفیس ورودی کافی است و Masquerade یک نوع srcnat است که نیازی به تعریف to-address ندارد و تنها معرفی یک اینترفیس خروجی کافی است. در این حالات دیگر فرقی ندارد که چه IP به اینترفیس ها متصل میگردد هر IP در رنج IP های add شده به اینترفیس عمل می کند. در Redirect فیلد to-port برای فرستادن کل ترافیک به یک پورت خاص است که بیشتر برای اعمالی نظیر web-***** استفاده می شود.

    Property Description
    action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade | netmap | passthrough | redirect | return | same | src-nat; default: accept) - action to undertake if the packet matches the rule
    accept - accepts the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it
    add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter
    add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter
    dst-nat - replaces destination address of an IP packet to values specified by to-addresses and to-ports parameters
    jump - jump to the chain specified by the value of the jump-target parameter
    log - each match with this action will add a message to the system log
    masquerade - replaces source address of an IP packet to an automatically determined by the routing facility IP address
    netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks
    passthrough - ignores this rule goes on to the next one
    redirect - replaces destination address of an IP packet to one of the router's local addresses
    return - passes control back to the chain from where the jump took place
    same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client
    src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters
    address-list (name) - specifies the name of the address list to collect IP addresses from rules having action=add-dst-to-address-list or action=add-src-to-address-list actions. These address lists could be later used for packet matching
    address-list-timeout (time; default: 00:00:00) - time interval after which the address will be removed from the address list specified by address-list parameter. Used in conjunction with add-dst-to-address-list or add-src-to-address-list actions
    00:00:00 - leave the address in the address list forever
    chain (dstnat | srcnat | name) - specifies the chain to put a particular rule into. As the different traffic is passed through different chains, always be careful in choosing the right chain for a new rule. If the input does not match the name of an already defined chain, a new chain will be created
    dstnat - a rule placed in this chain is applied before routing. The rules that replace destination addresses of IP packets should be placed there
    srcnat - a rule placed in this chain is applied after routing. The rules that replace the source addresses of IP packets should be placed there
    comment (text) - a descriptive comment for the rule. A comment can be used to identify rules form scripts
    connection-bytes (integer-integer) - matches packets only if a given amount of bytes has been transfered through the particular connection
    0 - means infinity, exempli gratia: connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection
    connection-limit (integer,netmask) - restrict connection limit per address or address block
    connection-mark (name) - matches packets marked via mangle facility with particular connection mark
    connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - matches packets from related connections based on information from their connection tracking helpers. A relevant connection helper must be enabled under /ip firewall service-port
    content (text) - the text packets should contain in order to match the rule
    dst-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is destined to. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
    dst-address-list (name) - matches destination address of a packet against user-defined address list
    dst-address-type (unicast | local | broadcast | multicast) - matches destination address type of the IP packet, one of the:
    unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
    local - matches addresses assigned to router's interfaces
    broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
    multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
    dst-limit (integer/time{0,1},integer,dst-address | dst-port | src-address{+},time{0,1}) - limits the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the limit match, every destination IP address / destination port has it's own limit. The options are as follows (in order of appearance):
    Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
    Time - specifies the time interval over which the packet rate is measured
    Burst - number of packets to match in a burst
    Mode - the classifier(-s) for packet rate limiting
    Expire - specifies interval after which recorded IP addresses / ports will be deleted
    dst-port (integer: 0..65535-integer: 0..65535{*}) - destination port number or range
    hotspot (multiple choice: from-client | auth | local-dst) - matches packets received from clients against various Hot-Spot. All values can be negated
    from-client - true, if a packet comes from HotSpot client
    auth - true, if a packet comes from authenticted client
    local-dst - true, if a packet has local destination IP address
    icmp-options (integer:integer) - matches ICMP Type:Code fields
    in-interface (name) - interface the packet has entered the router through
    ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header options
    any - match packet with at least one of the ipv4 options
    loose-source-routing - match packets with loose source routing option. This option is used to route the internet datagram based on information supplied by the source
    no-record-route - match packets with no record route option. This option is used to route the internet datagram based on information supplied by the source
    no-router-alert - match packets with no router alter option
    no-source-routing - match packets with no source routing option
    no-timestamp - match packets with no timestamp option
    record-route - match packets with record route option
    router-alert - match packets with router alter option
    strict-source-routing - match packets with strict source routing option
    timestamp - match packets with timestamp
    jump-target (dstnat | srcnatname) - name of the target chain to jump to, if the action=jump is used
    limit (integer/time{0,1},integer) - restricts packet match rate to a given limit. Usefull to reduce the amount of log messages
    Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
    Time - specifies the time interval over which the packet rate is measured
    Burst - number of packets to match in a burst
    log-prefix (text) - all messages written to logs will contain the prefix specified herein. Used in conjunction with action=log
    nth (integer,integer: 0..15,integer{0,1}) - match a particular Nth packet received by the rule. One of 16 available counters can be used to count packets
    Every - match every Every+1th packet. For example, if Every=1 then the rule matches every 2nd packet
    Counter - specifies which counter to use. A counter increments each time the rule containing nth match matches
    Packet - match on the given packet number. The value by obvious reasons must be between 0 and Every. If this option is used for a given counter, then there must be at least Every+1 rules with this option, covering all values between 0 and Every inclusively.
    out-interface (name) - interface the packet is leaving the router through
    packet-mark (text) - matches packets marked via mangle facility with particular packet mark
    packet-size (integer: 0..65535-integer: 0..65535{0,1}) - matches packet of the specified size or size range in bytes
    Min - specifies lower boundary of the size range or a standalone value
    Max - specifies upper boundary of the size range
    phys-in-interface (name) - matches the bridge port physical input device added to a bridge device. It is only useful if the packet has arrived through the bridge
    phys-out-interface (name) - matches the bridge port physical output device added to a bridge device. It is only useful if the packet will leave the router through the bridge
    protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) - matches particular IP protocol specified by protocol name or number. You should specify this setting if you want to specify ports
    psd (integer,time,integer,integer) - attempts to detect TCP and UDP scans. It is advised to assign lower weight to ports with high numbers to reduce the frequency of false positives, such as from passive mode FTP transfers
    WeightThreshold - total weight of the latest TCP/UDP packets with different destination ports coming from the same host to be treated as port scan sequence
    DelayThreshold - delay for the packets with different destination ports coming from the same host to be treated as possible port scan subsequence
    LowPortWeight - weight of the packets with privileged (<=1024) destination port
    HighPortWeight - weight of the packet with non-priviliged destination port
    random (integer) - match packets randomly with given propability
    routing-mark (name) - matches packets marked by mangle facility with particular routing mark
    same-not-by-dst (yes | no) - specifies whether to account or not to account for destination IP address when selecting a new source IP address for packets matched by rules with action=same
    src-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is originated from. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
    src-address-list (name) - matches source address of a packet against user-defined address list
    src-address-type (unicast | local | broadcast | multicast) - matches source address type of the IP packet, one of the:
    unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
    local - matches addresses assigned to router's interfaces
    broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
    multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
    src-mac-address (MAC address) - source MAC address
    src-port (integer: 0..65535-integer: 0..65535{*}) - source port number or range
    tcp-mss (integer: 0..65535) - matches TCP MSS value of an IP packet
    time (time-time,sat | fri | thu | wed | tue | mon | sun{+}) - allows to create filter based on the packets' arrival time and date or, for locally generated packets, departure time and date
    to-addresses (IP address-IP address{0,1}; default: 0.0.0.0) - address or address range to replace original address of an IP packet with
    to-ports (integer: 0..65535-integer: 0..65535{0,1}) - port or port range to replace original port of an IP packet with
    tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match to the value of Type of Service (ToS) field of IP header
    max-reliability - maximize reliability (ToS=4)
    max-throughput - maximize throughput (ToS=8)
    min-cost - minimize monetary cost (ToS=2)
    min-delay - minimize delay (ToS=16)
    normal - normal service (ToS=0)
    Filter
    Filter یک بخش از فایروال است.
    فایروال چیست؟
    فایروال در لغت به معنی دیواره آتش است اما در مفهوم مانند یک دیوار است که دور یک شهر کشیده شده و معابری مانند دروازه های شهر در آن وجود دارد که نگهبانانی در آنها وجود دارند که عبور و مرور را کنترل می نمایند.
    در شبکه فایروال ها معمولا روی gateway نصب می شوند و تمامی عبور و مرور ها را کنترل می نمایند. که معمولا کار حفاظت اطلاعات داخلی را از هجوم های خارجی را بر عهده دارد.
    فایروالها ممکن است استراتژی های مختلفی داشته باشند.که به نوع شبکه و نوع و level حفاظت بستگی دارد.
    MikroTik دارای یکpacket filter قوی است که ویژگی های آن در زیر آورده شده است.
    • stateful packet filtering
    • peer-to-peer protocols filtering
    • traffic classification by:
      • source MAC address
      • IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
      • port or port range
      • IP protocols
      • protocol options (ICMP type and code fields, TCP flags, IP options and MSS)
      • interface the packet arrived from or left through
      • internal flow and connection marks
      • ToS (DSCP) byte
      • packet content
      • rate at which packets arrive and sequence numbers
      • packet size
      • packet arrival time
      • and much more!


    قائده کلی Filtering
    فایروال بر پایه رول های آن بنا شده است یعنی فایروال و روتر کاری را انجام می دهد که رول ها بگویند. هر رول از 2 قسمت تشکیل شده است قسمت اول مشخص می کند که کدام پکت با رول ما match میشود و قسمت دوم عملی که روی پکت باید انجام بگیرد را مشخص می کند.
    رول ها بر اساس chain آنها برای مدیریت بهتر دسته بندی می شوند. هر رول 3 حالت به صورت پیش فرض میتواند داشته باشد. Input و forward و output که به معنی پکت هایی که به مقصد روتر می آیند و پکت هایی که از روتر رد می شوند و پکت هایی که از مبدا روتر خارج می شوند هستند. حالتهایی هم به صورت دستی می توان برای فایروال تعریف کرد.
    Property Description
    action (accept | add-dst-to-address-list | add-src-to-address-list | drop | jump | log | passthrough | reject | return | tarpit; default: accept) - action to undertake if the packet matches the rule
    accept - accept the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it
    add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter
    add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter
    drop - silently drop the packet (without sending the ICMP reject message)
    jump - jump to the chain specified by the value of the jump-target parameter
    log - each match with this action will add a message to the system log
    passthrough - ignores this rule and goes on to the next one
    reject - reject the packet and send an ICMP reject message
    return - passes control back to the chain from where the jump took place
    tarpit - captures and holds incoming TCP connections (replies with SYN/ACK to the inbound TCP SYN packet)
    address-list (name) - specifies the name of the address list to collect IP addresses from rules having action=add-dst-to-address-list or action=add-src-to-address-list actions. These address lists could be later used for packet matching
    address-list-timeout (time; default: 00:00:00) - time interval after which the address will be removed from the address list specified by address-list parameter. Used in conjunction with add-dst-to-address-list or add-src-to-address-list actions
    00:00:00 - leave the address in the address list forever
    chain (forward | input | output | name) - specifies the chain to put a particular rule into. As the different traffic is passed through different chains, always be careful in choosing the right chain for a new rule. If the input does not match the name of an already defined chain, a new chain will be created
    comment (text) - a descriptive comment for the rule. A comment can be used to identify rules form scripts
    connection-bytes (integer-integer) - matches packets only if a given amount of bytes has been transfered through the particular connection
    0 - means infinity, exempli gratia: connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection
    connection-limit (integer,netmask) - restrict connection limit per address or address block
    connection-mark (name) - matches packets marked via mangle facility with particular connection mark
    connection-state (estabilished | invalid | new | related) - interprets the connection tracking analysis data for a particular packet
    estabilished - a packet which belongs to an existing connection, exempli gratia a reply packet or a packet which belongs to already replied connection
    invalid - a packet which could not be identified for some reason. This includes out of memory condition and ICMP errors which do not correspond to any known connection. It is generally advised to drop these packets
    new - a packet which begins a new TCP connection
    related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection (the later requires enabled FTP connection tracking helper under /ip firewall service-port)
    connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - matches packets from related connections based on information from their connection tracking helpers. A relevant connection helper must be enabled under /ip firewall service-port
    content (text) - the text packets should contain in order to match the rule
    dst-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is destined to. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
    dst-address-list (name) - matches destination address of a packet against user-defined address list
    dst-address-type (unicast | local | broadcast | multicast) - matches destination address type of the IP packet, one of the:
    unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
    local - matches addresses assigned to router's interfaces
    broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
    multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
    dst-limit (integer/time{0,1},integer,dst-address | dst-port | src-address{+},time{0,1}) - limits the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the limit match, every destination IP address / destination port has it's own limit. The options are as follows (in order of appearance):
    Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
    Time - specifies the time interval over which the packet rate is measured
    Burst - number of packets to match in a burst
    Mode - the classifier(-s) for packet rate limiting
    Expire - specifies interval after which recorded IP addresses / ports will be deleted
    dst-port (integer: 0..65535-integer: 0..65535{*}) - destination port number or range
    hotspot (multiple choice: from-client | auth | local-dst | http) - matches packets received from clients against various Hot-Spot. All values can be negated
    from-client - true, if a packet comes from HotSpot client
    auth - true, if a packet comes from authenticted client
    local-dst - true, if a packet has local destination IP address
    hotspot - true, if it is a TCP packet from client and either the transparent ***** on port 80 is enabled or the client has a ***** address configured and this address is equal to the address:port pair of the IP packet
    icmp-options (integer:integer) - matches ICMP Type:Code fields
    in-interface (name) - interface the packet has entered the router through
    ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header options
    any - match packet with at least one of the ipv4 options
    loose-source-routing - match packets with loose source routing option. This option is used to route the internet datagram based on information supplied by the source
    no-record-route - match packets with no record route option. This option is used to route the internet datagram based on information supplied by the source
    no-router-alert - match packets with no router alter option
    no-source-routing - match packets with no source routing option
    no-timestamp - match packets with no timestamp option
    record-route - match packets with record route option
    router-alert - match packets with router alter option
    strict-source-routing - match packets with strict source routing option
    timestamp - match packets with timestamp
    jump-target (forward | input | output | name) - name of the target chain to jump to, if the action=jump is used
    limit (integer/time{0,1},integer) - restricts packet match rate to a given limit. Usefull to reduce the amount of log messages
    Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
    Time - specifies the time interval over which the packet rate is measured
    Burst - number of packets to match in a burst
    log-prefix (text) - all messages written to logs will contain the prefix specified herein. Used in conjunction with action=log
    nth (integer,integer: 0..15,integer{0,1}) - match a particular Nth packet received by the rule. One of 16 available counters can be used to count packets
    Every - match every Every+1th packet. For example, if Every=1 then the rule matches every 2nd packet
    Counter - specifies which counter to use. A counter increments each time the rule containing nth match matches
    Packet - match on the given packet number. The value by obvious reasons must be between 0 and Every. If this option is used for a given counter, then there must be at least Every+1 rules with this option, covering all values between 0 and Every inclusively.
    out-interface (name) - interface the packet will leave the router through
    p2p (all-p2p | bit-torrent | blubster | direct-connect | edonkey | fasttrack | gnutella | soulseek | warez | winmx) - matches packets from various peer-to-peer (P2P) protocols
    packet-mark (text) - matches packets marked via mangle facility with particular packet mark
    packet-size (integer: 0..65535-integer: 0..65535{0,1}) - matches packet of the specified size or size range in bytes
    Min - specifies lower boundary of the size range or a standalone value
    Max - specifies upper boundary of the size range
    phys-in-interface (name) - matches the bridge port physical input device added to a bridge device. It is only useful if the packet has arrived through the bridge
    phys-out-interface (name) - matches the bridge port physical output device added to a bridge device. It is only useful if the packet will leave the router through the bridge
    protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) - matches particular IP protocol specified by protocol name or number. You should specify this setting if you want to specify ports
    psd (integer,time,integer,integer) - attempts to detect TCP and UDP scans. It is advised to assign lower weight to ports with high numbers to reduce the frequency of false positives, such as from passive mode FTP transfers
    WeightThreshold - total weight of the latest TCP/UDP packets with different destination ports coming from the same host to be treated as port scan sequence
    DelayThreshold - delay for the packets with different destination ports coming from the same host to be treated as possible port scan subsequence
    LowPortWeight - weight of the packets with privileged (<=1024) destination port
    HighPortWeight - weight of the packet with non-priviliged destination port
    random (integer: 1..99) - matches packets randomly with given propability
    reject-with (icmp-admin-prohibited | icmp-echo-reply | icmp-host-prohibited | icmp-host-unreachable | icmp-net-prohibited | icmp-network-unreachable | icmp-port-unreachable | icmp-protocol-unreachable | tcp-reset | integer) - alters the reply packet of reject action
    routing-mark (name) - matches packets marked by mangle facility with particular routing mark
    src-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is originated from. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
    src-address-list (name) - matches source address of a packet against user-defined address list
    src-address-type (unicast | local | broadcast | multicast) - matches source address type of the IP packet, one of the:
    unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
    local - matches addresses assigned to router's interfaces
    broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
    multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
    src-mac-address (MAC address) - source MAC address
    src-port (integer: 0..65535-integer: 0..65535{*}) - source port number or range
    tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg) - tcp flags to match
    ack - acknowledging data
    cwr - congestion window reduced
    ece - ECN-echo flag (explicit congestion notification)
    fin - close connection
    psh - push function
    rst - drop connection
    syn - new connection
    urg - urgent data
    tcp-mss (integer: 0..65535) - matches TCP MSS value of an IP packet
    time (time-time,sat | fri | thu | wed | tue | mon | sun{+}) - allows to create filter based on the packets' arrival time and date or, for locally generated packets, departure time and date
    tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match for the value of Type of Service (ToS) field of an IP header
    max-reliability - maximize reliability (ToS=4)
    max-throughput - maximize throughput (ToS=8)
    min-cost - minimize monetary cost (ToS=2)
    min-delay - minimize delay (ToS=16)
    normal - normal service (ToS=0)

  19. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


  20. #10
    کاربر اخراج شده
    تاریخ عضویت
    Aug 2012
    محل سکونت
    اراک - تهران ***GODServer.ir
    نوشته ها
    127
    تشکر تشکر کرده 
    14
    تشکر تشکر شده 
    1,159
    تشکر شده در
    864 پست

    پیش فرض پاسخ : آموزش میکروتیک (همه چیز در مورد میکروتیک)

    میکروتیک - بخش دوم - نصب


    نصب MikroTik
    برای نصب MikroTik ابتدا باید minimum hardware requirment آن را بررسی کنیم که داخل سایت رسمی MikroTik Routers and Wireless نوشته شده است. اما به طور تجربی برای 1Mbps پهنای باند و سرویسهایی مثل NAT , Filtering , Bandwidth manager , DNS حد افل یک کامپیوتر pentium 2 به همراه 64MB فضای RAM و یک هارد دیسک 2.1GB یا کمتر و 2 عدد کارت شبکه کافی است.
    برای نصب از روی CD باید ابتدا image آن را از لینکی که در آخر مقاله آمده دانلود کرده و بر روی CD به صورت image رایت کرده به صورتی که CD پس از write کردن bootable باشد.
    CD را داخل cd-rom سیستمس که میخواهید MikroTik روی آن نصب کنید قرار دهید. و first boot device کامپیوتر خود را روی cd-rom قرار دهید. بعد از بوت شدن از روی CD یک صفحه باز خواهد شد که لیست service ها را نشان میدهد که می توان با spacebar آنها را انتخاب و یا از انتخاب خارح کرد. بعد از انتخاب package های مربوطه کلید "i" را فشار می دهیم. 2 عدد سوال از شما پرسیده می شود 1- سیستم به شما می گوید که با نصب MikroTik تمامی اطلاعات روی هارد دیسک شما پاک خواهد شد 2-از شما سوال می شود که اگر قبلا روی سیستم شما MikroTik نصب شده است آیا می خواهید تنظیمات قبلی نگهداری شوند؟ که اگر در دو حالت حرف "y" را وارد کرده و کلید ENTER را فشار دهیم سیستم شروع به نصب می کند.


    بعد از کامل شدن نصب یک پیغام ظاهر می شود که نصب شما به پایان رسیده است و کلیدENTER را برای Reboot شدن سیستم خود فشار دهید.
    سپس سیستم Reboot شده و روتر شما آماده استفاده است.

    تنظیمات MikroTik

    اختصاص IP address به کارت های شبکه:

    ما یک LAN را در نظر می گیریم که از طریق MikroTik به یک روتر متصل و از همین طریق به اینترنت متصل است. فرض می کنیم که IP روتر ما 217.219.100.1 255.255.255.128 و IP شبکه داخلی ما 172.16.0.0 255.255.255.0 بنابر این IP کارت شبکه خارجی ما 217.219.100.2 255.255.255.128 و IP کارت شبکه داخلی ما 172.16.0.1 255.255.255.0 و default gateway ما 217.219.100.1 می شود.
    برای انجام دادن تنظیمات روتر ابتدا باید به آن login کنیم. Username و password روتر به صورت پیش فرض admin با پسورد blank (خالی) است. یوزر و پسورد را وارد می کنیم و وارد میشویم.
    ابتدا باید IP ها را set کنیم. برای اینکار command های زیر را وارد می کنیم:


    [admin@MikroTik] ip address> add address=217.219.100.2/25 interface=ether0
    [admin@MikroTik] ip address> add address=172.16.0.1/24 interface=ether1
    [admin@MikroTik] ip address> print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 217.219.100.2/25 217.219.100.0 217.219.100.127 ether0
    1 172.16.0.1 172.16.0.0 172.16.0.255 ether1
    [admin@MikroTik] ip address>
    ر[admin@MikroTik] ip address> add address=217.219.100.2/25 interface=ether0
    اکنون IP های ما add شده اند. برای اینکه یک default gateway برای روتر مشخص کنیم باید یک static route برای آن بنویسیم. برای این کار command های زیر را وارد می نمائیم:


    [admin@MikroTik] ip route> add gateway=217.219.100.1
    [admin@MikroTik] ip route> print
    Flags: X - disabled, A - active, D - dynamic,
    C - connect, S - static, r - rip, b - bgp, o - ospf
    # DST-ADDRESS G GATEWAY DISTANCE INTERFACE
    1 ADC 217.219.100.0/25 ether0
    2 ADC 172.16.0.0/24 ether1
    3 A S 0.0.0.0/0 r 217.219.100.1 ether0
    [admin@MikroTik] ip route>
    اکنون روتر شما به اینترنت متصل است برای تست آن میتوانید یک IP داخل اینترنت را پینگ کنید به ترتیب زیر:
    [admin@MikroTik] > ping 4.2.2.1
    4.2.2.1 64 byte ping: ttl=237 time=256 ms
    4.2.2.1 64 byte ping: ttl=237 time=413 ms
    4.2.2.1 64 byte ping: ttl=237 time=311 ms
    4.2.2.1 64 byte ping: ttl=237 time=283 ms
    5 packets transmitted, 4 packets received, 20% packet loss
    round-trip min/avg/max = 256/315.7/413 ms
    [admin@MikroTik] >

    تنظیم NAT در روتر:

    در اینجا ما فقط می خواهیم آدرس های شبکه داخلی به یک آدرس خارجی و معتبر در اینترنت ترجمه شود. پس باید از srcnat استفاده کنیم. که هم می توان از masquerade استفاده کرد هم می توان از srcnat به همراه وارد کردن آدرس شبکه داخلی از طریق فیلد to-address استفاده کرد. ما اینجا هر دو روش را توضیح خواهیم داد.
    Masquerade
    در این حالت فقط کافی است اینترفیس خروجی را مشخص کنیم که به ترتیب زیر عمل می کنیم:

    /ip firewall nat add chain=srcnat action=masquerade out-interface=ether0
    به این ترتیب کلیه IP هایی که در شبکه ما هستند از هر اینترفیسی که باشند اگر روتر را default gateway خود قرار دهند به اینترنت متصل می گردند.
    Srcnat
    در این حالت ما یک یا چند IP خاص را به یک IP ولید NAT می کنیم. در این حالت امنیت و کنترل بیشتری روی شبکه خود داریم.


    /ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=src-nat to-addresses=217.219.100.2
    در حالت فوق هر کامپیوتر با IP در رنج 172.16.0.0 255.255.255.0 و default gateway 172.16.0.1 می تواند از اینترنت استفاده کند. ما میتوانیم به جای یک رنج IP یک IP خاص یا یک رنج مخدود ت را انتخاب کنیم.



    تنظیمات Filter
    رول های Filter بسته به نیاز ما باید ساخته شوند . ما فعلا فرض میگیریم که می خواهیم ابتدا تنها به 3 کامپیوتر اجازه استفاده از اینترنت را بدهیم و برای همه پورت 135 را ببندیم و برای کلیه کامپیوتر ها ping بسته باشد و پورت telnet روتر برای همه بسته باشد. برای اعمال فوق الذکر به این ترتیب عمل می کنیم.
    ما قصد بستن پورت 135 برای کلیه IP ها را داریم پس رول زیر را می نویسیم:


    /ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop
    به این ترتیب تمام درخواستها به این پورت drop می شوند.

    حال باید رولی را ایجاد کنیم که ping بسته شود این رول نیز مانند رول قبل است:
    /ip firewall filter add chain=forward protocol=icmp action=drop
    و اما رول بعد بستن پورت telnet به روتر:
    در این حالت باید chain را input قرار دهیم به معنی تمام پکت های ورودی به مقصد روتر.


    /ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop
    اکنون ما می خواهیم تنها 3 کامپیوتر به اینترنت دسترسی داشته باشند پس باید هر پکتی که قصد عبور از روتر را دارد و از این 3 کامپیوتر خاص صادر شده است اجازه عبور داده شده و بقیه پکت ها که قصد عبور از روتر را دارند drop شوند. پس اول باید رول های دسترسی سپس رول عدم دسترسی بقیه نوشته شود. در filtering ترتیب رول ها بسیار مهم است چون روتر به ترتیب از بالا به پائین رول ها را خوانده و عمل می کند.
    ما با رول های بالا دسترسی سه IP را باز و دسترسی کلیه پکت های دیگر را محدود کرده ایم.
    اکنون تنظیمات ما به پایان رسیده است. ما یه روتر داریم که میان شبکه داخلی و خارجی ما قرار دارد روی روتر ما یک IP ولید به یک رنج IP اینولید NAT شده است. ما روی روتر به وسیله packet filtering از شبکه داخلی خود و روتر حفاظت می کنیم. و این امکان را داریم که دسترسی کلاینت های را به اینترنت کنترل کنیم.
    /ip firewall filter add chain=forward src-address=172.16.0.2 action=accept
    /ip firewall filter add chain=forward src-address=172.16.0.3 action=accept
    /ip firewall filter add chain=forward src-address=172.16.0.4 action=accept
    /ip firewall filter add chain=forward src-address=172.16.0.0/16 action=drop
    لینک دانلود :

  21. تعداد تشکر ها ازnovintak2 به دلیل پست مفید


صفحه 1 از 2 12 آخرینآخرین

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. پاسخ ها: 26
    آخرين نوشته: January 11th, 2013, 22:38
  2. آموزش نصب میکروتیک
    توسط milad221 در انجمن مباحث و منابع آموزشی
    پاسخ ها: 3
    آخرين نوشته: December 11th, 2011, 16:29

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •