آموزش میکروتیک (همه چیز در مورد میکروتیک)

[novintak2]

گام دوم : بررسی گزینه های دیواره آتش ( فایروال ) میکروتیک


در این گام برای آشنایی بیشتر با امکانات قابل استفاده , به بررسی گزینه های موجود در دیواره آتش میکروتیک خواهیم پرداخت.
برای دسترسی به دیواره آتش میکروتیک، با استفاده از وینباکس ( نرم افزار مدیریتی میکروتیک ) به دستگاه وصل شده ، سپس مطابق شکل 1 از منوی اصلی ابتدا IP سپس Firewall را انتخاب کنید.

شکل 1

پنجره Firewall مطابق با شکل 2 باز خواهد شد.

شکل 2

بخش های اصلی دیواره آتش میکروتیک به قرار زیر است :

• Layer 7 Protocol
• Address Lists
• Connections
• Service Ports
• Mangle
• NAT
• Filter Rules

Layer7-Protocols
Layer7Protocols یک روش جستجوی الگو در جریان داده UDP ,ICMP و TCP می باشد.
تطبیق دهنده لایه هفتم، 10 بسته اولیه یا 2KB اولیه جریان ارتباطی را جمع آوری کرده و بدنبال الگوی مشخص شده در داده جمع آوری شده می گردد.تطبیق دهنده اگر الگو در داده جمع آوری شده پیدا نشد بررسی بیشتری انجام نخواهد داد.حافظه اختصاص داده شده به این امر خالی شده و پروتکل بعنوان ناشناخته در نظر گرفته می شود.باید به این نکته توجه داشته باشید که مصرف حافظه با افزایش تعداد ارتباطات بطور قابل توجهی بیشتر خواهد شد.
تطبیق دهنده لایه هفتم به دو طرف ارتباط ( ورودی و خروجی ) برای بررسی بسته ها نیاز دارد،بدین منظور باید قانون های لایه هفتم را در زنجیره Forward قرار دهید.اگر قانون در زنجیره Prerouting جدول INPUT قرار گرفت ، باید مشابه همین قانون را در زنجیره Postrouting جدول Output ایجاد کنید،در غیر اینصورت داده جمع آوری شده ممکن است در تبطیق دادن الگو نیتجه نتیجه اشتباهی در بر داشته باشد.

Address Lists
Address Lists یکی از ویژگی های خوب و کاربردی میکروتیک می باشد ،با استفاده از لیست آدرس می توان بصورت دستی و خودکار لیستی از آدرس ها تهیه کرد تا هنگام استفاده نوشتن قوانین از آنها بهره جست.

شکل 3

مزیت لیست آدرس در کمتر شدن و ساده تر شدن قوانین می باشد.بدین صورت که اگر بخواهید برای چندین کاربر دسترسی مشترکی را محدود یا باز کنید، در حالت عادی باید به ازای هر کاربر یک قانون ایجاد کنید ولی در این حالت کافیست ، یک لیست آدرس ایجاد ، آدرس کاربران را به آن اضافه کرده و در قانون ها بجای آدرس مبدا یا مقصد از لیست آدرس مبدا یا مقصد که متعلق به گزینه های پیشرفته می باشد ، استفاده کنید.
با استفاده از لیست آدرس خودکار می توان ، آدرس ها را بصورت خودکار به لیست اضافه کرد ، برای این منظور کافیست در تب Action قانون، گزینه Add dst to address list برای ارسال مقصد بسته ها و Add src to address list برای ارسال مبدا بسته ها به لیست آدرسی که در زیر آن مشخص می شود ، استفاده کرد.
می توانید ابتدا یک قانون برای ایجاد لیست آدرس خودکار ایجاد کرده و سپس عملیات مورد نظر را بر روی لیست آدرس انجام دهید..
لیست آدرس در آنالیز شبکه هم قابل استفاده است ، برای مثال تهیه لیستی شامل تمامی کاربرانی که از سرویس SSH استفاده می کنند یا سرورهایی که آنها به آن متصل می شوند را با لیست آدرس خودکار می توان بدست آورد.

Connections
از طریق تب Connections می توانید لیست کلیه ارتباط هایی که با میکروتیک برقرار شده است را بر اساس آدرس مبدا و مقصد ، نوع پروتکل و مدت زمان فعال بودن ارتباط مشاهده کنید.

شکل 4

Service Ports
سرویس هایی وجود دارند که در صورت فعال شدن نت بدلیل احتیاج به ارتباط واقعی پایاپای بدرستی کار نخواهند کرد،برای حل این مشکل میکروتیک از خاصیت NAT Traversal برای چند سرویس خاص استفاده می کند.

شکل 5

Filter , NAT, Mangle
در پنجره Firewall ، سه جدول اصلی که قبلا مفاهیم آنها مورد بررسی قرار گرفت وجود دارند. در این پنجره می توان لیست قانون هایی که قبلا نوشته شده اند را در تب های مختلف مشاهده و ویرایش کرد.

شکل 6

برای اضافه کردن قانون جدید بر روی علامت “+” کلیک کنید تا پنجره New Manage Rule باز شود. گزینه ها در سه دسته عمومی ، پیشرفته و اضافی تقسیم بندی شده اند.
این گزینه ها در هر سه جدول NAT , Mangle و Filter یکسان می باشند و فقط در جدول نت P2P وجود ندارد.این گزینه ها را در شکل های 7 ، 8 ، 9 می توانید مشاهده کنید.

شکل 7

نیاز به یادآوری است که دانستن ساختار بسته ها ، یکی از ملزومات تنظیم دیواره آتش می باشد.اکثر گزینه های موجود با دانش نسبت به این ساختار، کاربردی و قابل استفاده خواهند بود.
در دسته عمومی ، گزینه ها شامل نوع زنجیره ، آدرس مبدا و مقصد ، نوع پروتکل ، درگاه مبدا و مقصد ، اینترفیس ورودی یا خروجی ، بسته و ارتباطات قبلا نشانه گذاری شده و وضعیت ارتباط می باشد.
گزینه های دسته پیشرفته در بر گیرنده ، لیست آدرس مبدا یا مقصد ، پروتکل لایه هفتم ، محتوای خاص در آدرس ، آدرس سخت افزاری ، TOS ، TTL و ... می باشد.

شکل 8

دسته اضافی شامل گزینه هایی همچون تنظیم زمان برای فعال شدن قانون بر اساس ساعت و روزهای هفته ، نوع آدرس از قبیل Broadcast , Unicast , Multicast و Local ، محدود کردن تعداد ارتباطات و ... می باشد.

شکل 9

عملیات های قابل انجام توسط منگل در تب Action شکل 10 لیست شده اند. باید توجه داشت که هر قانون فقط یک عمل در آن واحد قادر است انجام دهد.پس برای عملیات های متفاوت باید قوانین مجزا ایجاد کنید.

شکل 10

عملیات های قابل انجام توسط جدول ***** در شکل زیر آورده شده است.

شکل 11

و در آخر لیست عملیات های جدول ***** در ادامه قابل مشاهده است.

شکل 12

عملیات های مشترک بین همه جدول ها عبارت اند از :

• Accept : قبول کردن بسته ، بسته در قانون های بعدی بررسی نمی شود.
• Add dst to address list : اضافه کردن آدرس مقصد به لیست آدرس مشخص شده
• Add src to address list : اضافه کردن آدرس مبدا به لیست آدرس مشخص شده
• Jump : پرش به زنجیره مشخص شده
• Log : فرستادن پیغامی حاوی قانون تطبیق داده شده با فرمت خاص به سیستم ثبت وقایع
• Passthrough : در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد، بیشتر برای آمارگیری )
• Return : برگردان کنترل به زنجیره در جایی که پرش صورت گرفته

عملیات های غیرمشترک جدول ***** متشکل شده از :

• Drop : رها کردن بسته بدون ارسال پیغام
• Reject : رها کردن بسته همراه با ارسال یک پیغام ICMP Reject
• Tarpit : ضبط و نگهداری ارتباطات TCP ( کاربرد در کم کردن اثر حملات DOS )

عملیات های غیرمشترک جدول نت بقرار زیر است :

• Src-NAT : ترجمه آدرس مبدا بسته به آدرس مشخص شده
• Dst-NAT : ترجمه آدرس مقصد بسته به آدرس مشخص شده
• MASQUERADE : ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم
• Redirect : جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده
• Same
• Netmap

عملیات های غیرمشترک جدول منگل عبارت اند از :

• Change DSCP ( TOS ) : تغییر مقدار فیلد TOS بسته
• Change TTL : تغییر مقدار فیلد TTL بسته
• Change MSS : تغییر مقدار فیلد Maximum Segment Size بسته
• Clear DF : پاک کردن بیت Don’t Fragment (کاربرد در تانل IPSEC )
• Mark Connection : نشانه گذاری ارتباط
• Mark Packet : نشانه گذاری بسته ( کاربرد در کنترل پهنای باند )
• Mark Routing : نشانه گذازی مسیر ( کاربرد در عملیات مسیریابی پیشرفته )
• Set Priority : تغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.
• Strip IPv4 Options

تب Statistics نیز آماری از میزان ترافیک و تعداد بسته هایی که این قانون شامل حال آنها می شود را بصورت عددی و گراف در اختیار ما قرار می هد.از طریق این تب می توان درستی قانون نوشته شده را مورد بررسی قرار داد. شکل 13 گویای این موضوع می باشد.

[novintak2]

راه اندازی سرویس SNMP در میکروتیک






استفاده از ابزارهای نظارتی ( مونیتورینگ ) در زمره کارهای روزمره مدیران و پشتیبانان شبکه های کامپیوتری می باشد.به منظور استفاده از ابزارهای نظارتی معمولا از پروتکل SNMP (Simple Network Management Protocol ) استفاده می شود و با توجه به گستردگی استفاده از میکروتیک در ایران به آموزش شیوه فعال کردن SNMP در میکروتیک می پردازیم.
اصول کلی تنظیمات در میکروتیک های نسخه های مختلف یکسان است ولی شکل و نوع گزینه ها ممکن است متفاوت باشد.

• در اولین قدم نیاز است که به منوی SNMP بروید :

در میکروتیک های قدیمی گزینه SNMP در منوی های اصلی مطابق شکل قرار دارد.

اما در میکروتیک های جدید منوی SNMP زیر مجموعه IP می باشد،پس برای دسترسی به آن مطابق شکل زیر ابتدا به منوی IP سپس SNMP بروید.

• قدم بعدی فعال کردن سرویس SNMP می باشد.بدین منظور در پنجره SNMP Server بر روی SNMP Settings کلیک کنید و در پنجره SNMP Settings تیک Enabled را زده و OK کنید.

در میکروتیک های قدیمی مطابق شکل زیر می باشد.

و در میکروتیک های جدید

• و در آخر SNMP Community مورد نظر خود را که باید در ابزار نظارتی خود اضافه کنید ،ایجاد می کنیم.

برای این منظور در پنجره SNMP Server بر روی + کلیک کرده و در پنجره New SNMP Community مطابق شکل در فیلد Name نام ارتباطی مد نظر خود و در فیلد Address تک آدرس یا رنج آدرسی که قادر به اتصال به سرویس SNMP میکروتیک با Community مورد نظر می باشد را انتخاب کنید(برای امنیت بیشتر بهتر است این مورد آدرس سرور نظارتی باشد) و تیک گزینه Read Access را بزنید و OK کنید.
میروتیک قدیمی :

میکروتیک جدید :

توجه :

گزینه جدید اضافه شده از قبیل Authentication و Encryption مربوط به SNMP نسخه 3 می باشد،در صورت نیاز می بایست در SNMP Setting نسخه 3 را انتخاب کنید.(اطلاعات بیشتر در مورد SNMP نسخه 3)

SNMP Security Models and Levels Tables

Model	Level	Authentication	Encryption	What Happens
v1	noAuthNoPriv	Community String	No	Uses a community string match for authentication.
v2c	noAuthNoPriv	Community String	No	Uses a community string match for authentication.
v3	noAuthNoPriv	Username	No	Uses a username match for authentication.
v3	authNoPriv	MD5 or SHA	No	Provides authentication based on the HMAC-MD5 or HMAC-SHA algorithms.
v3	authPriv	MD5 or SHA	DES	Provides authentication based on the HMAC-MD5 or HMAC-SHA algorithms. Provides DES 56-bit encryption in addition to authentication based on the CBC-DES (DES-56) standard.

نکته:

در بعضی ابزارهای نظارتی ،OID ها بصورت خودکار به برنامه اضافه نمی شود و ما نیازمند داشتن OID برای داشتن گراف از منبع مورد نظر هستیم.

برای این منظور در ترمینال میکروتیک بعد از دستور Print عبارت oid را وارد کنید.

در زیر چند نمونه خروجی آورده شده است:

reza@PersianAdmins] > queue simple print oid
Flags: X - disabled, I - invalid, D - dynamic
0 name=.1.3.6.1.4.1.14988.1.1.2.1.1.2.8397
bytes-in=.1.3.6.1.4.1.14988.1.1.2.1.1.8.8397
bytes-out=.1.3.6.1.4.1.14988.1.1.2.1.1.9.8397
packets-in=.1.3.6.1.4.1.14988.1.1.2.1.1.10.8397
packets-out=.1.3.6.1.4.1.14988.1.1.2.1.1.11.8397
queues-in=.1.3.6.1.4.1.14988.1.1.2.1.1.12.8397
queues-out=.1.3.6.1.4.1.14988.1.1.2.1.1.13.8397

1 D name=.1.3.6.1.4.1.14988.1.1.2.1.1.2.8987
bytes-in=.1.3.6.1.4.1.14988.1.1.2.1.1.8.8987
bytes-out=.1.3.6.1.4.1.14988.1.1.2.1.1.9.8987
packets-in=.1.3.6.1.4.1.14988.1.1.2.1.1.10.8987
packets-out=.1.3.6.1.4.1.14988.1.1.2.1.1.11.8987
queues-in=.1.3.6.1.4.1.14988.1.1.2.1.1.12.8987
queues-out=.1.3.6.1.4.1.14988.1.1.2.1.1.13.8987


[reza@PersianAdmins] > interface print oid
Flags: D - dynamic, X - disabled, R - running, S - slave
0 R name=.1.3.6.1.2.1.2.2.1.2.6 mtu=.1.3.6.1.2.1.2.2.1.4.6
mac-address=.1.3.6.1.2.1.2.2.1.6.6 admin-status=.1.3.6.1.2.1.2.2.1.7.6
oper-status=.1.3.6.1.2.1.2.2.1.8.6 bytes-in=.1.3.6.1.2.1.2.2.1.10.6
packets-in=.1.3.6.1.2.1.2.2.1.11.6 discards-in=.1.3.6.1.2.1.2.2.1.13.6
errors-in=.1.3.6.1.2.1.2.2.1.14.6 bytes-out=.1.3.6.1.2.1.2.2.1.16.6
packets-out=.1.3.6.1.2.1.2.2.1.17.6 discards-out=.1.3.6.1.2.1.2.2.1.19.6
errors-out=.1.3.6.1.2.1.2.2.1.20.6

1 R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7
mac-address=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7
oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7
packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7
errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7
packets-out=.1.3.6.1.2.1.2.2.1.17.7 discards-out=.1.3.6.1.2.1.2.2.1.19.7
errors-out=.1.3.6.1.2.1.2.2.1.20.7

[reza@PersianAdmins] > system resource print oid
uptime: .1.3.6.1.2.1.1.3.0
total-hdd-space: .1.3.6.1.2.1.25.2.3.1.5.131073
used-hdd-space: .1.3.6.1.2.1.25.2.3.1.6.131073
total-memory: .1.3.6.1.2.1.25.2.3.1.5.65536
used-memory: .1.3.6.1.2.1.25.2.3.1.6.65536

[novintak2]

پاک کردن دوره ای لاگ های User Manager





یکی از امکانات خوب میکروتیک برای سازمان ها و شرکت ها با کاربر کم یا متوسط و نیازمند حسابداری اینترنت با امکانات محدودتر نسبت به نرم افزارهای مشابه حرفه ای User Manager می باشد که بر روی میکروتیک نصب می شود و نیازمند سیستم مجزا نمی باشد.
این نرم افزار خوب و گاها بسیار کارگشا در مواردی برای میکروتیک مشکلاتی ایجاد می کند که می بایست با نوشتن اسکریپت های خاص آن موضوع مشکلات را به حداقل رساند.
در این آموزش به یکی از این مشکلات که پر شدن هارد و اشغال شدن CPU به سبب حجم بالای لاگ های User Manager است می پردازیم.
در بسیاری موارد نیروهای پشتیبان برای پاسخگویی به کاربران و پیدا کردن مشکلات اهراز هویت و ... به لاگ های Authorisation & Authorisation & Accounting در User Manager نیازمند می باشند،در صورت فعال شدن این لاگ ها بعد از مدتی با زیاد شدن تعداد لاگ ها حجم هارد را تماما اشغال می کند و بار بر روی CPU را به شدت افزایش می دهد.
مراحل انجام کار :

• ساخت اسکریپت

مطابق عکس بالا در Winbox به System>Scripts رفته و اسکریپتی به نام Rm_UM_log با منبع زیر ایجاد کنید.
:local Flag
:set Flag [/tool user-manager log find]
:if ([:len $Flag] > 0) do={/tool user-manager log print append file log;/tool user-manager log remove [/tool user-manager log find];}

• نوشتن زمانبندی

مطابق عکس بالا زمانبدی را ایجاد کنید یا دستورات زیر را در ترمینال وارد کنید.


/system scheduler
add name="Rm-U-log" on-event="Rm_UM_log" start-date=Sep/15/2010 start-time=07:30:00 interval=7d comment="" disabled=no
در قسمت on-event اسم اسکریپت ایجاد شده می بایست وارد شود.
نکته :
حتما NTP Client را فعال کنید تا ساعت و تاریخ میکروتیک بعد از Reboot تغییر نکند.

---------------
پاورقی :
در صورت نیاز به حذف Session ها ،تمام مراحل مطابق با آموزش ذکر شده در بالا می باشد و فقط در قسمت ساخت اسکریپت از منبع زیر استفاده کنید :
:local Flag
:set Flag [/tool user-manager session find]
:if([:len $Flag]>0) do={/tool user-manager session print; /tool user-manager session remove [/tool user-manager session find];}

[novintak2]

ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک





در این آموزش سیستم عامل میکروتیک را در سه مرحله آسان ارتقا می دهیم :
برای نمونه در اینجا من سیستم عامل یک RB750 را از نسخه 4.3 به 4.5 ارتفا می دهم.

مرحله اول :
دانلود بسته Compined package از سایت میکروتیک :
برای این منظور به این آدرس رفته
MikroTik Routers and Wireless
و بسته به نوع روتربورد یا PC فایل مورد نظر را مطابق شکل دانلود کنید.

مرحله دوم :
فایل combined package را بواسطه FTP یا Winbox به میکروتیک انتفال دهید.
در صورت استفاده از وین باکس به منوی Files رفته ، سپس فایل را در ویندوز خود انتخاب و به داخل پنجره Files بکشید.

مرحله سوم :
میکروتیک را Reboot کنید.

آموزش تصویری ارتقای سیستم عامل میکروتیک

مشاهده آموزش

دانلود آموزش

لینک پشتیبان

مشاهده آموزش

دانلود آموزش

نکته :
شیوه ارتقا سیستم عامل میکروتیک در سیستم های نصب شده بر روی PC یا روتربورد یکسان است.
نکته مهم :
بعد از بروزرسانی 72 ساعت وقت دارید تا لایسنس میکروتیک را آپدیت کنید،سعی کنید این کار را بلافاصله انجام دهید.
برای این منظور باید میکروتیک اینترنت داشته باشد،سپس از منوی System به License رفته و بر روی Update License Key کلیک کنید.