ShirazOnline
صفحه 1 از 2 12 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 , از مجموع 11

موضوع: تنظیمات میکروتیک

  1. #1
    کاربر عادی clack آواتار ها
    تاریخ عضویت
    Apr 2014
    نوشته ها
    18
    تشکرها / پسندها

    Question تنظیمات میکروتیک

    سلام .

    من یک سرور اختصاصی دارم و چند ای.پی .
    از میکروتیک میخوام به عنوان روتر و فایروال = مقابله با حملات استفاده کنم .
    برای همین میخوام یک رول تایین کنم مثلآ برای drop یک ای.پی مخرب .

    الان سوال اینجاست .
    من چطور میتونم این رول تایین کنم به شکلی که مثلآ پکت هایی که ای.پی حمله کننده میفرسته فقط روی یکی از ای.پی هام بسته بشه .
    به عنوان مثال ای.پی حمله کننده فقط به ای.پی مورد نظر سرور من که 192.168.1.6 هست دسترسیش بسته بشه و به سایر ای.پی های من دسترسیش قطع نشه .

  2. # ADS
    Circuit advertisement
    تاریخ عضویت
    Always
    نوشته ها
    Many
     

  3. #2
    کاربر فعال حرفه ای alisc آواتار ها
    تاریخ عضویت
    Feb 2011
    محل سکونت
    شهریار
    نوشته ها
    1,661
    تشکرها / پسندها

    پیش فرض

    خوب ببینید این رو میشه هم داینامیک پیاده کرد و هم استاتیک !

    داینامیک : یعنی خودش حمله رو تشخصی بده ، سپس IP اتکر رو قرار بده داخل یک address list ، سپس توسط یک رول سوم دسترسی به هر سروری که شما تعیین می کنید رو برای اون IP ها Drop میکنه !

    استاتیک : این هم مثل بالا هست ولی فقط خودتون باید IP Attacker رو بهش بدید ، یعنی باید بشینید Torch کنید و IP پیدا کنید که منطقی نیست !


    داخل ویکی میکروتیک و انجمن میکروتیک پر است از پالیسی درخواستی :

    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]

  4. #3
    کاربر فعال حرفه ای alisc آواتار ها
    تاریخ عضویت
    Feb 2011
    محل سکونت
    شهریار
    نوشته ها
    1,661
    تشکرها / پسندها

    پیش فرض

    رول را متناسب با نیازتون بنویسید و جایی مشکل بود بپرسید در خدمتتون هستم

  5. #4
    کاربر عادی clack آواتار ها
    تاریخ عضویت
    Apr 2014
    نوشته ها
    18
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط alisc نمایش پست ها
    رول را متناسب با نیازتون بنویسید و جایی مشکل بود بپرسید در خدمتتون هستم
    بله درست هست .
    درمورد این موردی که فرمودید چیز هایی خوندم .
    در مورد داینامیک و استاتیک یه چیزایی میدونم اما مشکل من یک بخش دیگری از این تنظیمات هست .

    من میخوام این رولی که تایین شد فقط برای یکی از ای.پی هایی که روی شبکه سرور من هست تعریف بشه .
    روی ای.پی های دیگم این رول تعریف نشه .

    برای اینکه بخوام رول مورد نظر روی ای.پی مورد نظر من مثلا ای.پی 192.168.1.6 من بسته بشه . باید ای.پی 192.168.1.6 کجا وارد کنم ؟

  6. #5
    کاربر فعال حرفه ای alisc آواتار ها
    تاریخ عضویت
    Feb 2011
    محل سکونت
    شهریار
    نوشته ها
    1,661
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    برای اینکه بخوام رول مورد نظر روی ای.پی مورد نظر من مثلا ای.پی 192.168.1.6 من بسته بشه . باید ای.پی 192.168.1.6 کجا وارد کنم ؟
    خوب اینکه مسئله ای نیست ، خیلی ساده هست !

    Src Address رو برابر با آدرس لیست Attacker قرار میدید !
    Dst Addres رو هم برابر 192.168.1.6 قرار میدید ! ( مثلا )


    یعنی تمام پکت هایی که آدرس مبدا اونها Attacker هست ( همون لیسیت که شناسایی شده ) اجازهخ دسترسی به 192.168.1.6 ( مثلا سرور شما ) رو نداشته باشه و Drop بشه !

  7. Thanks clack thanked for this post
  8. #6
    کاربر عادی clack آواتار ها
    تاریخ عضویت
    Apr 2014
    نوشته ها
    18
    تشکرها / پسندها

    Question

    نقل قول نوشته اصلی توسط alisc نمایش پست ها
    خوب اینکه مسئله ای نیست ، خیلی ساده هست !

    Src Address رو برابر با آدرس لیست Attacker قرار میدید !
    Dst Addres رو هم برابر 192.168.1.6 قرار میدید ! ( مثلا )


    یعنی تمام پکت هایی که آدرس مبدا اونها Attacker هست ( همون لیسیت که شناسایی شده ) اجازهخ دسترسی به 192.168.1.6 ( مثلا سرور شما ) رو نداشته باشه و Drop بشه !
    بله دقیقآ شک من روی این مورد بود و میخواستم مطمئن بشم . خیلی ممنون

    1) پس اگر dst خالی باشه روی کل شبکه این رول اعمال میشه و اگر ایپی(های) خودمون رو بدیم روی اون ای.پی ها فقط اعمال میشه ؟!

    2) من الان صفحه هایی که ارسال کردید رو خوندم اما دستوری که داینامک هست خیلی بهتری و کاربردی تر هست . یعنی :
    کد:
    /ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  \
    action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d
    ولی این مورد فقط پروتوکول TCP هدف قرار میده . مثلآ برای UDP باید رول جدا تایین کرد ؟
    اگر قسمت دستوری "protocol=tcp" حذف کنم این رول رو برای تمام پروتوکل ها در نظر میگیره ؟ این بنظر شما برای کار من بهتر نیست ؟
    به نظر شما قسمت "connection-limit" برای کار من و این مورد بهتر هست همین مقدار قرار داده بشه یا پیشنهاد دیگری دارید ؟

  9. #7
    کاربر فعال حرفه ای alisc آواتار ها
    تاریخ عضویت
    Feb 2011
    محل سکونت
    شهریار
    نوشته ها
    1,661
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    1) پس اگر dst خالی باشه روی کل شبکه این رول اعمال میشه و اگر ایپی(های) خودمون رو بدیم روی اون ای.پی ها فقط اعمال میشه ؟!
    بله ، در میکروتیک اگر فیلدی خالی باشه به معنای all ( همه ) هست !

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    ولی این مورد فقط پروتوکول TCP هدف قرار میده . مثلآ برای UDP باید رول جدا تایین کرد ؟
    یک رول هم بنویسید به این شکل :
    کد:
    ip firewall filter add chain=input protocol=udp connection-limit=LIMIT,32  \
    action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    اگر قسمت دستوری "protocol=tcp" حذف کنم این رول رو برای تمام پروتوکل ها در نظر میگیره ؟
    بله ، درسته !

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    این بنظر شما برای کار من بهتر نیست ؟
    خیر ، اصلا پیشنهاد نمیشه !

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    به نظر شما قسمت "connection-limit" برای کار من و این مورد بهتر هست همین مقدار قرار داده بشه یا پیشنهاد دیگری دارید ؟
    باید تست کنید !
    این دیفالت هست !

  10. Thanks clack thanked for this post
  11. #8
    کاربر عادی clack آواتار ها
    تاریخ عضویت
    Apr 2014
    نوشته ها
    18
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط alisc نمایش پست ها
    بله ، در میکروتیک اگر فیلدی خالی باشه به معنای all ( همه ) هست !



    یک رول هم بنویسید به این شکل :
    کد:
    ip firewall filter add chain=input protocol=udp connection-limit=LIMIT,32  \
    action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d



    بله ، درسته !



    خیر ، اصلا پیشنهاد نمیشه !



    باید تست کنید !
    این دیفالت هست !

    سلام .
    ما شبکه رو کانفیگ کردیم و gateway رو روی میکروتیک ست کردیم .
    ای.پی ها استاتیک هست .
    مشکل اینجاست که میشه سرعت رو لیمیت کرد ولی وقتی رول مینویسیم برای ای.پی ها درست عمل نمیکنه و اکثر (99%)مواقع تغییرات در فایروال عملآ کار نمیکنه .

  12. #9
    کاربر فعال حرفه ای alisc آواتار ها
    تاریخ عضویت
    Feb 2011
    محل سکونت
    شهریار
    نوشته ها
    1,661
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط clack نمایش پست ها
    سلام .
    ما شبکه رو کانفیگ کردیم و gateway رو روی میکروتیک ست کردیم .
    ای.پی ها استاتیک هست .
    مشکل اینجاست که میشه سرعت رو لیمیت کرد ولی وقتی رول مینویسیم برای ای.پی ها درست عمل نمیکنه و اکثر (99%)مواقع تغییرات در فایروال عملآ کار نمیکنه .
    مطمئن هستید گیتوی همه میکروتیک هست ؟
    از روی یک سرور trace route بگیرید ببینید از روی میکروتیک رد میشه ؟!؟
    اگر میکروتیک نباشه ، رول ها اعمال میشه !

    یک export از تنظیمات + دیاگرام شبکه قرار بدید بررسی کنیم

  13. #10
    کاربر عادی clack آواتار ها
    تاریخ عضویت
    Apr 2014
    نوشته ها
    18
    تشکرها / پسندها

    پیش فرض

    نقل قول نوشته اصلی توسط alisc نمایش پست ها
    مطمئن هستید گیتوی همه میکروتیک هست ؟
    از روی یک سرور trace route بگیرید ببینید از روی میکروتیک رد میشه ؟!؟
    اگر میکروتیک نباشه ، رول ها اعمال میشه !

    یک export از تنظیمات + دیاگرام شبکه قرار بدید بررسی کنیم
    بله چک کردم .
    وقتی trace گرفتم اولین ای.پی ، ای.پی gateway بود .

    export کلی بگیرم ؟ (اگر میشه پ.خ کنم.)

صفحه 1 از 2 12 آخرینآخرین

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •