اطلاعیه

بستن
No announcement yet.

سوال فایروال میکروتیک

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

  • سوال فایروال میکروتیک

    سلام دوستان
    یک routerboard 751 دارم
    فایروال رو از طریق winbox کانفیگ کردم اما درست کار نمیکنه
    اول یک address list ساختم با رنج 192.168.3.0/24 با اسم lan1
    حالا این رول ها را ساختم
    rule 1 chane=input ,advance tab src=lan1 action accept این رول برای دسترسی به خود میکروتیک
    rule 2 chane=input , action drop اینجا میخواستم بگم همه ورودی ها به خود میکروتیک مسدود شود
    rule 3 chane=output , action accept این رول برای دسترسی خود روتر به اینترنت برای ntp و dns
    rule 4 chane=forward ,advance tab src=lan1 action acceptبرای دسترسی lan به اینترنت
    rule 5 chane=forward ,advance tab dst=lan1 action accept connection state : established برای مجاز بودن پکت هایی که session انها در روتر وجود دارد از internet به lan
    rule 6 chane=forward , action drop برای بستن دیگر ip address ها به اینترنت

    خوب بعد از این کانفیگ با ip نمیتونم به میکروتیک وصل بشم فقط با MAC وصل میشه
    ping اینترنت رو دارم اما صفحه ندارم
    بعد از disable کردن تمام رول های بالا دوباره میتونم به اینترنت وصل باشم و با ip به میکروتیک وصل بشم
    راستی بقیه گزینه های رول هارو هم دست نمیزنم به همون صورت گری ات است

  • #2
    یک تصویر از ip firewall filter بزار و یک خروجی از دستور ip firewall filter export

    کامنت


    • #3
      نوشته شده توسط shiraz مشاهده پست
      یک تصویر از ip firewall filter بزار و یک خروجی از دستور ip firewall filter export
      New Bitmap Image.jpg11.jpg

      با توجه به عکس فکر میگنم باید کاری بکنم که خود روتر برد به اینترنت دسترسی داشته باشه
      - با ست کردن dns دستی 8.8.8.8 رو کامپیوتر اینترنت دارم و با ip به روتر برد وصل شدم
      آخرین ویرایش توسط peyman.sh68@yahoo.com; در تاریخ/ساعت 2014/02/18, 01:28 PM.

      کامنت


      • #4
        رول هاتو بد نوشتی،هدف را بگو تا بگم چی کار باید کنی
        یعنی می خوای چی ببندی و چی رو باز بزاری

        کامنت


        • #5
          نوشته شده توسط tapesh مشاهده پست
          رول هاتو بد نوشتی،هدف را بگو تا بگم چی کار باید کنی
          یعنی می خوای چی ببندی و چی رو باز بزاری
          1. دسترسی از lan3 به اینترنت فراهم باشه
          2. دسترسی از lan3 به routerboard فراهم باشه
          3. routerboard به اینترنت دسترسی داشته باشه ( برای ntp , dns )
          4. دسترسی دیگر lan ها مسدود شود هم به اینترنت و هم به routerboard
          5. کلاینت های lan 3 سرویس dns را از routerboard بگیرند که از cache استفاده بشه

          کامنت


          • #6
            خوب شما فقط لازمه که یک رول بنویسی . یعنی یک nat از نوع masqurade که فقط اون رنجی که
            روی اینترفیس lan3 هستش بره توی اینترنت . بقیه کارهای اولیه رو هم باید انجام بدید .مثل نوشتن
            defualt gateway , تنظیمات dns , تنظیمات dhcp
            شرکت شبکه گستر پارسین
            09123514173

            کامنت


            • #7
              دو تا کار کردم مشکل حل شد
              آدرس 8.8.8.8 و تایم سرور رو به src - input اضافه کردم

              خوب نتیجه میگیریم برای اینکه میکروتیک به اینترنت دسترسی داشته باشد هم ***** با chain = output , input نیاز دارد
              1-add chain=input src.address=8.8.8.8 action=accept
              2-add chain=input src.address=time.windows.com action=accept

              کامنت


              • #8
                شما می خواین همه پورت ها جز پورت 3 به هیچ چیز دسترسی نداشته باشند
                شما بهتر است که برای اینترفیس های دیگر محدودیت ایجاد کنید نه اینترفیسی که نیاز نیست محدودیت داشته باشد

                کامنت


                • #9
                  نوشته شده توسط admin مشاهده پست
                  شما می خواین همه پورت ها جز پورت 3 به هیچ چیز دسترسی نداشته باشند
                  شما بهتر است که برای اینترفیس های دیگر محدودیت ایجاد کنید نه اینترفیسی که نیاز نیست محدودیت داشته باشد
                  به نظرتون چطور بنویسم بهتره رولهاشو بنویسید ببینیم ایا بهتره ؟

                  کامنت


                  • #10
                    فایروال 2 نوع می نویسند
                    یا می گند همه چیز بسته چز اینها
                    یا همه چیز باز جز اینها

                    بیا برای بقیه اینترفیس رول بنویس که forward,input,output بسته باشد،اگر جای خاصی لازم بود براشون باز بزار

                    کامنت


                    • #11
                      نوشته شده توسط shiraz مشاهده پست
                      فایروال 2 نوع می نویسند
                      یا می گند همه چیز بسته چز اینها
                      یا همه چیز باز جز اینها

                      بیا برای بقیه اینترفیس رول بنویس که forward,input,output بسته باشد،اگر جای خاصی لازم بود براشون باز بزار
                      میشه یک مثال بزنی تو این شبکه من " این به جز رو کجا تعریف کنیم "

                      کامنت


                      • #12
                        الان شما اومدی همه چیز بستی بجز lan3
                        این میشه بجز
                        ببین این سوالت نشون میده هیچ برنامه ای برای فایروالت نداری،فایروال نوشتنش مهم نیست،طرح و برنامش مهمه که می خوای چه کار کنی
                        برای هر رولی که می نویسی باید دلیل داشته باشی،الان برای رول های شما دلیلی خاصی نمیشه دید
                        اگر interfaceهای دیگه هیچ کاری نباید کنند خوب disable کنید دیگه لازم نیست فایروال بنویسید

                        کامنت


                        • #13
                          نوشته شده توسط shiraz مشاهده پست
                          الان شما اومدی همه چیز بستی بجز lan3
                          این میشه بجز
                          ببین این سوالت نشون میده هیچ برنامه ای برای فایروالت نداری،فایروال نوشتنش مهم نیست،طرح و برنامش مهمه که می خوای چه کار کنی
                          برای هر رولی که می نویسی باید دلیل داشته باشی،الان برای رول های شما دلیلی خاصی نمیشه دید
                          اگر interfaceهای دیگه هیچ کاری نباید کنند خوب disable کنید دیگه لازم نیست فایروال بنویسید
                          poet های دیگر نباید broudcast رو از خودشون رد کنند و در مواقع نیاز به اینترنت دسترسی داشته باشند که با تغییر address list میتوان به اینترنت دسترسی داد
                          تو دیگر پست ها هدف رو نوشتم
                          شاید درکم از فایروال مثل فایروال isa هست و هنوز با پیچ و خم مایکروتیک به صورت کامل آشنا نشدم
                          اگر مقدور است برای مثالی که زدم اگر ایده نو دارید بفرمایید تا در نظر داشته باشم

                          کامنت


                          • #14
                            میکروتیک روتر هست و روتر برودکست از خودش عبور نمیده
                            کتاب network+را اگر خونده باشید نوشته روتر broadcast دومین ها را جدا می کند
                            تنهادر صورتی عبور میده که شما پورت ها بریج کرده باشید و که اون هم با این رول ها جلوی برود کست گرفته نمیشه!

                            کامنت


                            • #15
                              نوشته شده توسط shiraz مشاهده پست
                              میکروتیک روتر هست و روتر برودکست از خودش عبور نمیده
                              کتاب network+را اگر خونده باشید نوشته روتر broadcast دومین ها را جدا می کند
                              تنهادر صورتی عبور میده که شما پورت ها بریج کرده باشید و که اون هم با این رول ها جلوی برود کست گرفته نمیشه!
                              ایا اخرین رول که نوشتم که همه چیز رو drop میکنه جلوی broudcast رو نمیگیره ؟

                              کامنت

                              در حال انجام ...
                              X