اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

مشکل در رول های فایروال میکروتیک

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    مشکل در رول های فایروال میکروتیک

    سلام ، دوستان من یک روتر میکروتیک در شبکه م قرار دادم ، مشکلی ک هست اینه ک میخوام ب جز چند پورت (حدود ۱۰۰ پورت) ، دسترسی سایر پورت ها (و همچنین دانلود از تورنت) رو ببندم .

    فایروال رو ب این صورت کانفیگ کردم :
    کد:
    /ip firewall filter 
    add chain=forward disabled=no action=accept in-interface=ether2 protocol=udp dst-port=1 
    . 
    . 
    . 
    add chain=forward disabled=no action=accept in-interface=ether2 protocol=tcp dst-port=100 
    add chain=forward disabled=no action=drop in-interface=ether2 
    add chain=forward disabled=no p2p=all action=drop in-interface=ether2
    ولی مشکلی ک هست اینه ک تا وقتی این رول :
    add chain=forward disabled=no action=drop in-interface=ether2
    فعال باشه ، همه ترافیک از این خط عبور میکنه و همه ی پورت ها بسته میشه .

    مشکل کار من کجاست ؟

    ترافیک /27 آي پی از اینترفیس ether2 عبور میکنه و ب واسطه اینترفیس ether1 ب اینترنت وصل میشه .
    شبکه لوکال نیست و تمام آی پی ها ولید و پابلیک هستند.


    با تشکر ...

    #2
    یه رول بنویسید به این صورت
    روی chain=forward
    in interface=ether2
    out interface = ether1
    dst port رو not پورت هایی که میخاید باز باشه بزارید و اکشن رو دراپ کنید
    همین یه رول اوکی هست

    کامنت


      #3
      نوشته شده توسط sepehr912 مشاهده پست
      یه رول بنویسید به این صورت
      روی chain=forward
      in interface=ether2
      out interface = ether1
      dst port رو not پورت هایی که میخاید باز باشه بزارید و اکشن رو دراپ کنید
      همین یه رول اوکی هست
      منظور از " not پورت هایی که میخاید " چیست ؟

      امکانش هست دستور رو قرار بدید ؟

      کامنت


        #4
        منظورشون تیک کنار dst port هست .
        Instagram : https://www.instagram.com/iranlinuxforum

        Voip Trainer - Asterisk - Elastix - Agi Programming- NewRock

        Voip Expert :ASTERISK-ELASTIX-NewRock Certified-With Experience of Working With
        Sangoma-Digium-Openvox-Synway-Atcom-Quintum Tenor-Polycom-Yealink-Rtx-Snom
        Cisco Collaboration - CME-CUCM-CUPs-CUC-WEBEX
        LPI ( Fundamental - LPI1 and LPI2 ) - Monitoring: ZABBIX-VOIPMONITOR-NAGIOS - CCNA

        Linkedin Profile : https://www.linkedin.com/in/masuma-vahid-26b17b66/

        کامنت


          #5
          نوشته شده توسط masome vahid مشاهده پست
          منظورشون تیک کنار dst port هست .
          الان من این رول رو ب اینصورت اضافه کردم :

          برای بزرگتر شدن عکس روی آن کلیک کنید

نام:	mikrotik.png
نمایش ها:	1
اندازه:	87.4 KB
شناسه:	17290

          برای بزرگتر شدن عکس روی آن کلیک کنید

نام:	mikrotik1.png
نمایش ها:	1
اندازه:	72.9 KB
شناسه:	17291

          ولی بازم کل ترافیک پورت ها دراپ میشه :252:
          آخرین ویرایش توسط Habili; در تاریخ/ساعت 03-20-2016, 11:14 PM.

          کامنت


            #6
            خوب شماره پورت جلوش ننوشتین که!
            شما روتهای accept بالا رو disable کنید
            فقط یه روت drop بنویسید
            برای dst port هم تیک not رو بزنید و تو فیلدش هم شماره پورتتون رو اضافه کنید. مثلا:
            80!
            اینطوری همه پورتها غیر از 80 بسته میشن.
            Instagram : https://www.instagram.com/iranlinuxforum

            Voip Trainer - Asterisk - Elastix - Agi Programming- NewRock

            Voip Expert :ASTERISK-ELASTIX-NewRock Certified-With Experience of Working With
            Sangoma-Digium-Openvox-Synway-Atcom-Quintum Tenor-Polycom-Yealink-Rtx-Snom
            Cisco Collaboration - CME-CUCM-CUPs-CUC-WEBEX
            LPI ( Fundamental - LPI1 and LPI2 ) - Monitoring: ZABBIX-VOIPMONITOR-NAGIOS - CCNA

            Linkedin Profile : https://www.linkedin.com/in/masuma-vahid-26b17b66/

            کامنت


              #7
              نوشته شده توسط masome vahid مشاهده پست
              خوب شماره پورت جلوش ننوشتین که!
              شما روتهای accept بالا رو disable کنید
              فقط یه روت drop بنویسید
              برای dst port هم تیک not رو بزنید و تو فیلدش هم شماره پورتتون رو اضافه کنید. مثلا:
              80!
              اینطوری همه پورتها غیر از 80 بسته میشن.
              این روش برای ۱۰۰ پورت هم جواب میده ؟

              کامنت


                #8
                سلام برای 100 تا پورت اول باید هر 100 پورت رو accept کنین و در آخر غیر از اونها رو drop کنین به اینصورت
                کد:
                /ip firewall filter
                add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections"  
                add chain=forward connection-state=established action=accept comment="allow already established connections"  
                add chain=forward connection-state=related action=accept comment="allow related connections"
                add chain=forward action=accept protocol=tcp dst-port=53 in-interface=ether2 comment "allow DNS"
                add chain=forward action=accept protocol=udp dst-port=53 in-interface=ether2 comment "allow DNS"
                add chain=forward action=accept protocol=tcp dst-port=80 in-interface=ether2 comment "allow HTTP"
                add chain=forward action=accept protocol=tcp dst-port=443 in-interface=ether2 comment "allow HTTPS"
                add chain=forward action=drop
                Instagram : https://www.instagram.com/iranlinuxforum

                Voip Trainer - Asterisk - Elastix - Agi Programming- NewRock

                Voip Expert :ASTERISK-ELASTIX-NewRock Certified-With Experience of Working With
                Sangoma-Digium-Openvox-Synway-Atcom-Quintum Tenor-Polycom-Yealink-Rtx-Snom
                Cisco Collaboration - CME-CUCM-CUPs-CUC-WEBEX
                LPI ( Fundamental - LPI1 and LPI2 ) - Monitoring: ZABBIX-VOIPMONITOR-NAGIOS - CCNA

                Linkedin Profile : https://www.linkedin.com/in/masuma-vahid-26b17b66/

                کامنت


                  #9
                  نوشته شده توسط masome vahid مشاهده پست
                  سلام برای 100 تا پورت اول باید هر 100 پورت رو accept کنین و در آخر غیر از اونها رو drop کنین به اینصورت
                  کد:
                  /ip firewall filter
                  add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections"  
                  add chain=forward connection-state=established action=accept comment="allow already established connections"  
                  add chain=forward connection-state=related action=accept comment="allow related connections"
                  add chain=forward action=accept protocol=tcp dst-port=53 in-interface=ether2 comment "allow DNS"
                  add chain=forward action=accept protocol=udp dst-port=53 in-interface=ether2 comment "allow DNS"
                  add chain=forward action=accept protocol=tcp dst-port=80 in-interface=ether2 comment "allow HTTP"
                  add chain=forward action=accept protocol=tcp dst-port=443 in-interface=ether2 comment "allow HTTPS"
                  add chain=forward action=drop

                  :203: این رو از فروم میکروتیک کپی کردید ؟ :221: ، خب منم بر اساس همون تاپیک رول ها رو ست کردم !!!! :252:

                  کامنت


                    #10
                    با کاما و - میتونید همه رو تو یه رول بنویسید به صورت not

                    کامنت

                    درباره انجمن منطقه لینوکسی ها

                    انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

                    شبکه های اجتماعی
                    در حال انجام ...
                    X