استفاده از address List برای نوشتن رول
در درسنامه قبلی ما درباره این موضوع صحبت کردیم که چگونه می توانیم به کمک یک ADDRESS LIST از تمامی آی پی های ایران، محدودیتی ایجاد کنیم که بر طبق آن محدودیت صرفاً یک سری آی پی ها مجاز و موجود در لیست بتوانند NAT شوند. در واقع محدودیت تعریف شده به این صورت بود که FORWARD یا DST NAT زمانی انجام شود که آی پی منبع یا همان SRC IP از بین آی پی های ایران باشد.
آنچه در این مقاله می خوانید:
بنابراین بر طبق این محدودیت تعریف شده، اگر درخواست دهنده خارج از ایران باشد نمی تواند از DST NAT شما برای برقراری ارتباط با سرور استفاده کند. در این درسنامه نیز قرار است که همین کار را برای رول ها انجام دهیم. اینکه ما می توانیم از همان ADDRESS LIST برای نوشتن رول هم استفاده نماییم. با ما همراه باشید :
توضیحات اولیه!
خوب برای اجرای پروسه مورد نظر ابتدا نیاز است که به سراغ میکروتیک برویم. در درسنامه قبلی ما ابتدا یک لیست آدرس را ساختیم که نام آن IP 2 LOCATION می باشد. این لیست کل آی پی های ایران را در به روز ترین حالت ممکن شامل می شود. بعد از ایجاد لیست مورد نظر، ما از آن برای تعریف محدودیت ها و NAT استفاده خواهیم کرد. گفته بودیم که اگر می خواهیم DST NAT بنویسیم باید ابتدا مشخص کنیم که منبع یا SRC آن چه IP باشد.
مثلاً اگر یک یا دو و یا سه آی پی فقط مورد نظر شما است، شما می توانید محدودیت لازم برای این تعداد آی پی های محدود را به صورت دستی هم تعریف کنید. چطوری؟ کافیست که فقط یک لیست تعریف کنید و برای آن اسم بگذارید و بعد IP های مورد نظرتان را داخل لیست قرار دهید.
اما حالا اگر تعداد لینک ها و آی پی ها زیاد بود، حتماً نیاز است که شما از فایل داده شده استفاده نمایید. مثلاً ما در حال حاضر حدود ۱۹۰۰ تا آی پی به روز شده داریم که عملاً وارد کردن تک تک این آی پی ها به صورت دستی، کار شدنی نیست. پس صد در صد برای اشافه کردن این IP ها ما به یک لیست جامع و کامل نیاز داریم.
شما می توانید این لیست آپدیت شده را به صورت رایگان از وبسایت IP2LOCATION.COM دریافت نمایید. شما در قسمت پایین صفحه باید کشور، IP VERSION، OUT PUT FORMAT را انتخاب کنید. بهتر است برای زبانه OUT PUT FORMAT گزینه ی میکروتیک را قرار دهید. بعد از اعمال تنظیمات یک فایل زیپ شده در اختیار شما قرار می گیرد.
البته ما هم این فایل را به صورت کاملاً منظم شده به همراه یک دستور داخل سایت PBXSHOP قرار داده ایم. کافیست فایل را دریافت کرده و تمام لیست را کپی و در میکروتیک PASTE کنید.
خوب حالا ما قبلاً لیست را دریافت کرده ایم و آن را وارد NAT کرده ایم. حالا در پنجره ی NAT RULE به سراغ سربرگ ADVANCED می رویم. در این سربرگ به سراغ گزینه SRC ADDRESS LIST خواهیم رفت. ( البته در ورژن های جدید این گزینه در قسمت GENERAL قرار دارد.) خوب ما از قسمت ADVANCED لیست مورد نظرمان را انتخاب کرده ایم. در واقع این طور تعریف کرده ایم که اگر درخواست از این لیست بودDST NAT به پورت مورد نظر انجام شود.
حالا ما می خواهیم همین کار را برای FILTER RULE انجام دهیم. بنابراین همان پروسه به فقط کمی تغییر تکرار می شود.
برای این پروسه نیاز است که ابتدا ما یک پورت خاصی را انتخاب کنیم که این فرمان بر روی آن انجام شود. مثلا ما تصمیم می گیریم که پورت مورد نظر ما پورت SSH باشد. در این شرایط باید به قسمت IP و سپس SERVICES می رویم. اتدا سرویس مورد نظر را باز می کنیم و بعد پورت SSH را انتخاب می نماییم.
ما باید پورت پیش فرض را تغییر دهیم. مثلا عدد ۳۵۲۱ را به جای پورت پیش فرض تعیین می کنیم. اما ما می خواهیم اینجا یک شرطی را تعریف کنیم و آن هم این است که تنها کسانی می توانند با این پورت به میکروتیک ما SSH بزنند که آی پی آن ها داخل ایران باشد.
پس حالا به سراغ پنجره ی FILTER RUL می رویم و روی گزینه ی + کلیک می کنیم. حالا CHAIN را بر روی حالت INPUT قرار می دهیم. SRC ADDRESS ما یک لیست است که نیازی نیست به صورت تک تک در این بخش وارد شوند و در بخش ADVANCED اضافه شوند.
حالا برای زبانه PROTOCOL گزینه TCP را انتخاب می کنیم و در قسمت PORT هم عدد ۳۵۲۱ را قرار می دهیم. حالا نوبت این می رسد که تعین کنیم این رول از چه INTERFACE باید وارد شود. بنابراین زبانه را بر روی PPPOE می گذاریم.
حالا به سراغ زبانه ADVANCED می رویم و در این بخش گزینه ی SRC ADDRESS LIST را بر روی IP 2 COLECTION قرار می دهیم.
حالت ACTION باید بر روی ACCEPT باشد و حالا APPLY!
اگر خاطرتان باشد، ما قبلاً به شما گفته بودیم که روش دراپ کردن پکت های نامطلوب معمولا به دو روش انجام می شود. در واقع ما به دو روش می توانیم جلوی پکت های نامعتبر را بگیریم. یکی اینکه موارد مورد نیازمان را در یک رول ACCEPT کنیم و بقیه را دراپ نماییم.
یکی دیگر اینکه ما یک رول بنویسیم که اگر پکت های ورودی جزو پکت های نامطلوب بودند، دراپ شوند. برای اجرای این فرمان، کافیست از رول اولی که نوشته شده بود، یک کپی بگیرید و بعد این رول را تعریف کنید :
به این صورت که اگر تنظیمات به شرح زیر بودند :
CHAIN : INPUT
PROTOCOL : 6 (TCP)
DST PORT : 3521
- INTERFACE : PPPOE- OUT 2
دیگر نباید محدودیتی وجود داشته باشد و هر چه که هست باید دراپ شود. البته این امکان نیز وجود دارد که به جای دو تا رول، فقط یک رول بنویسیم که آن رول می تواند به شرح زیر باشد :
CHAIN: INPUT
DST PORT : 3521
PROTOCOL :6 (TCP)
IN.INTERFACE : PPPOE.OUT2
فقط کافیست که در قسمت ADVANCED گزینه ی NOT را فعال کنیم و ACTION را بر روی دراپ بگذاریم.
اما خوب ترجیح ما بر این است که با دو رول، فرمان دراپ کردن را اجرا کنیم. حالا با هم برویم و فرمان ثبت شده را تست کنیم. کاری که می کنیم این است که لیست آدرسی که داریم، داخل فیلتر رول مان استفاده می کنیم.
TEST!
خوب؛ آی پی کامپیوتر ما ۴۳.۱۰۰.۵۳.۲۴۴ می باشد و ما با استفاده از مک به میکروتیک مورد نظرمان وصل شده ایم. اما جالب است بدانید که خود این میکروتیک هم یک آی پی مجزا دارد که آی پی آن ۲.۱۷۶.۱۱۱.۱۸۴ می باشد. علاوه بر این نیاز است بدانید که اینترنت این میکروتیک نیز یک اینترنت جداگانه است. اینترنتی که قرار است ما با آی پی ۴.۱۰۰ به آن وصل شویم.
خوب؛ حالا به سراغ MOBAXTERM می رویم. از نوار بالا یک سیشن باز می کنیم و در قسمت اس اس اچ، در کادر REMOTE HOST آی پی پابلیک مان را وارد می کنیم. این آی همان آی پی میکروتیک ما یعنی ۲.۱۷۶.۱۱۱.۱۸۴ می باشد. در ادامه در قسمت پورت عدد ۳۵۲۱ را قرار داده و روی OK کلیک می کنیم.
حالا با دبل کلیک بر روی سیشن ایجاد شده، قاعدتاً باید اتصال برقرار شود. (اگر اتصال برقرار نشد بهتر است که ابتدا پورت را تغییر دهیم).
برای تغییر پورت، از آیتم های کناری به سراغ بخش IP و سپس SERVICES می رویم. روی SSH کلیک می کنیم و پورت را به جای ۳۵۲۱ بر روی ۳۰۵۲۱ قرار می دهیم. حالا در دو فرمان قبلی که برای دراپ کردن نوشته بودیم هم پورت را به ۳۰۵۲۱ تغییر می دهیم. حالا دوباره بر روی SESSION کلیک می کنیم و مشاهده می کنیم که درخواست ارسال شده و اتصال برقرار می شود.
پس ما موفق شدیم که از ADDRESS LIST مان برای دراپ کردن استفاده کنیم. حالا نکته اینجاست که اگر آی پی سیستم ما تغییر کند، چه اتفاقی می افتد. در این شرایط آی پی سیستم دیگر در لیست تعریف شده قرار نمی گیرد. پس به رول بعدی می رود و بر طبق این رول، دیگر اجازه اتصال به سیستم ما برای ورود به میکروتیک صادر نخواهد شد.
بستن آی پی های خارج از ایران برای INPUT
خوب برای ادامه کار دوباره به سراغ بخش آی پی و سپس SERVICES می رویم. حالا چون در این بخش ما به SSH نیازی نداریم، آن را غیر فعال می کنیم. علاوه بر این، نیاز است که دو رول ایجاد شده برای دراپ کردن را نیز از فایروال خاموش کنیم.
حالا باید بدانید که برای انجام محدودیت ها بر طبق آدرس لیست، ما می توانیم فقط یک رول را بنویسیم و خیال مان را از بابت همه چیز راحت کنیم. بر طبق این رول دیگر هیچ کسی خارج از ایران نمی تواند به میکروتیک ما وصل شود. برای ایجاد این رول، باید به سراغ FIREWALL بروید.
برای زبانه CHAIN گزینه INPUT را انتخاب کنید. برای گزینه پروتکل فرقی نمی کند که آیتم انتخابی چه باشد چون نهایتاً همه چیز در این بخش به سناریوی شما بستگی دارد. حالا سناریوی ما این است که می خواهیم همه را بدون هیچ محدودیتی ببندیم.
در ادامه IN.INTERFACE را بر روی PPPOE-OUT2 و در زبانه ی ADVANCED، SRC.ADDRESS LIST را بر روی IP2LOCATION می گذاریم و در نهایت گزینه ی NOT را فعال می کنیم. یادتان نرود که گزینه ACTION را بر روی حالت دراپ قرار دهید و در نهایت روی OK کلیک کنید. حالا رول ایجاد شده را در ردیف اول قرار می دهیم. بر طبق این رول تمامی آی پی های خارج از ایران، اجازه اتصال به میکروتیک را ندارند.
دیدگاه شما درباره این مقاله چیست ؟