بستن همه پورت ها بجز چند پورت خاص در میکروتیک !

[reza115]

سلام

این موضوع بیشتر برای افرادی مناسب هست که از دیتاسنتر بخاطر استفاده از تورنت و یا اسپم abuse می گیرند !


ابتدا وارد فایروال میشیم :

کد:

/ip firewall filter

خوب سپس باید اجازه استفاده از پورت های خاص رو با دستوارت زیر صادر کنیم :

کد:

add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=21
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=25
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=80
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=110
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=443
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=8080

حالا با دستور زیر جلوی فعالیت هرچیزی رو بجز پورت های بالا میگیریم :

کد:

add chain=forward disabled=no action=drop in-interface=LAN

معمولا بجای LAN در میکروتیک ها ether1 رو میبینیم !

اگه 2 تا کارت شبکه داریم باید کارتی رو انتخاب کنیم که کاربران میخان ازش استفاده کنن !

یه دستور دیگه هم هست که محض اطمینان اونو هم بزنیم بد نیست :

کد:

ip firewall filter add chain=forward p2p=bit-torrent action=drop

این دستور هم جلوی تمام فعالیت های که به تورنت ربط دارند رو میگیره !

اگه بخوایم جلوی اسپم رو هم بگیریم خطی که پورت 25 رو نوشتیم رو حذف می کنیم !


امیدوارم مفید واقع بشه

[Veria]

ممنون از آموزش شما.
فقط لازم هست که چند نکته رو ذکر کنم.
بهتره که تعدادی دیگه پورت اضافه بشه. چون اینطوری خیلی از سرویس ها رو مسدود کردید.
مثلا مسنجر یاهو، اسکایپ، ریموت دسکتاپ و...
نکته دوم هم اینکه درسته که برای تورنت کمک میکنه اما متاسفانه متوقف نمیکنه.

[reza115]

TCP/IP Ports

[reza115]

دوستان اگه پیشنهاد بهتری برای اینکار دارین لطفا بفرمایید

[citykala]

با تشکر

اقا رضا شما به این صورت و مثل پست اول تست کردین ؟ نتیجه گرفتین ؟

من از یکی از بچه ها پرسیدم چون یکم مغرور تشریف دارن فقط یه جمله گفتن : بعد همه چیز رو ببند-یک رول بدون هیچ پورت با اکشن دراپ


دیگه اشاره دیگه ای نکردن . مهم اینه که تو عمل جواب بده که می خوام بدونم شما جواب گرفتین یا نه ؟

همچنین یکی دیگه از بچه ها می گفتن که یه سری ایکریپت هم داره که اونم میشه اضافه کرد و جلوشو گرفت


ولی من یکی رو می شناختم که تو میکروتیک همشو بسته بود چون فایروال میکروتیک واقعا درست عمل می کنه

---------- Post added at 02:53 AM ---------- Previous post was at 02:41 AM ----------

من یه دستور دیگه ای مدتهاست که داشتم ولی هیچ موقع نزدم تا ببینم عملا و از لحاظ علمی می تونه کار کنه یا نه

که اینجا می زارم و می خوام بگین که می تونه کار کنه یا نه
add chain=virus disabled=no action=drop in-interface=ether1 protocol=tcp dst-port=8000-65535

که بیاد همه پورتها از 8000 تا 65535 رو ببنده که موندم که این دستور عمل می کنه یا نه

اگه عمل کنه خیلی از کارها حل میشه چون 99 درصد اخطارهای تورنت تو این رنج هستن

[reza115]

با تشکر

اقا رضا شما به این صورت و مثل پست اول تست کردین ؟ نتیجه گرفتین ؟

من از یکی از بچه ها پرسیدم چون یکم مغرور تشریف دارن فقط یه جمله گفتن : بعد همه چیز رو ببند-یک رول بدون هیچ پورت با اکشن دراپ


دیگه اشاره دیگه ای نکردن . مهم اینه که تو عمل جواب بده که می خوام بدونم شما جواب گرفتین یا نه ؟

همچنین یکی دیگه از بچه ها می گفتن که یه سری ایکریپت هم داره که اونم میشه اضافه کرد و جلوشو گرفت


ولی من یکی رو می شناختم که تو میکروتیک همشو بسته بود چون فایروال میکروتیک واقعا درست عمل می کنه

---------- Post added at 02:53 AM ---------- Previous post was at 02:41 AM ----------

من یه دستور دیگه ای مدتهاست که داشتم ولی هیچ موقع نزدم تا ببینم عملا و از لحاظ علمی می تونه کار کنه یا نه

که اینجا می زارم و می خوام بگین که می تونه کار کنه یا نه
add chain=virus disabled=no action=drop in-interface=ether1 protocol=tcp dst-port=8000-65535

که بیاد همه پورتها از 8000 تا 65535 رو ببنده که موندم که این دستور عمل می کنه یا نه

اگه عمل کنه خیلی از کارها حل میشه چون 99 درصد اخطارهای تورنت تو این رنج هستن

سلام
من با دستورات پست اول تا حدی جلوی تورنت رو گرفتم ولی کامل نیست
دستور شما درسته ولی اوون وسط جلوی پورت 8192 که برای winbox استفاده میشه و 8080 رو احتمالا میگیره !
شما قبلش پورت 8192و8080 رو با دستور زیر باز کنید
add action=accept chain=forward comment="Allow Winbox" disabled=no dst-port=8291 protocol=tcp
و بعد این دستور رو بزنید
add chain=virus disabled=no action=drop in-interface=ether1 protocol=tcp dst-port=8000-65535
add chain=forward disabled=no action=accept in-interface=LAN protocol=tcp dst-port=8080
برای اینکه دستور شما کاملتر بشه این خط رو هم وارد کنید :
add chain=virus disabled=no action=drop in-interface=ether1 protocol=udp dst-port=8000-65535

[citykala]

ممنون

اینها هم یه سری پورتهایی که باز گذاشتنشون از الزاماته
اگه پورت دیگه ای بود که کم و کسر شده بگین تا اضافه کنم
21,26,49,80,81,443,444,500,1701,1723,2090,2865,338 9,4500,5050,5900,8080,8090,8081,8192

[dashreza]

آقا رضا ممنون از مطلب مفیدی که نوشتی. اما این دستور اصلا تاثیری نداشت:

کد PHP:

ip firewall filter add chain=forward p2p=bit-torrent action=drop 


این دستورو هم وقتی میزنم کلا هیچ سایتی رو دیگه باز نمیکنه: (با وجودی که قلبش پورتهای مورد نیاز رو باز کردم):

کد PHP:

add chain=forward disabled=no action=drop in-interface=ether1 


نکنه ترتیب اضافه کردن این دستورها مهمه؟
علت چی میتونه باشه؟

[hostironi]

من می خوام همه پورت ها روی میکروتیک بسته بشه و فقط پورت 80 و 443 باز باشه. یعنی کاربر فقط یتونه وبگردی کنه.
از این روش استفاده کردم ولی بعد از کانکت شدن نت قطع می شه و حتی دو پورتی 80 و 443 هم با این که ادد شدن کار نمی کنن

[reza115]

من می خوام همه پورت ها روی میکروتیک بسته بشه و فقط پورت 80 و 443 باز باشه. یعنی کاربر فقط یتونه وبگردی کنه.
از این روش استفاده کردم ولی بعد از کانکت شدن نت قطع می شه و حتی دو پورتی 80 و 443 هم با این که ادد شدن کار نمی کنن

بجای این دستور :

کد:

add chain=forward disabled=no action=drop in-interface=LAN

بزنید :

کد:

 
add chain=forward disabled=no p2p=all action=drop in-interface=LAN