تنظیمات فایروال در میکروتیک به زبان ساده

فایروال چیست و چه کاری انجام می‌ دهد؟

فایروال، مانند یک نگهبان هوشمند در mikrotik عمل می‌ کند که وظیفه‌ اش کنترل ورود و خروج اطلاعات در شبکه است. این ابزار امنیتی بررسی می‌ کند که کدام داده‌ ها اجازه عبور از مرز شبکه را دارند و کدام یک باید مسدود شوند. استفاده از فایروال باعث افزایش امنیت شبکه در برابر تهدیداتی مانند نفوذ غیر مجاز، حملات مخرب، بد افزار ها و دسترسی‌ های ناخواسته می‌ شود.

فایروال در RouterOS میکروتیک نکته ای که دانستن آن بسیار حائز اهمیت است. در سیستم‌ عامل RouterOS که بر روی روتر های میکروتیک نصب می‌ شود، فایروالی قدرتمند و انعطاف‌ پذیر تعبیه شده است. این فایروال به مدیر شبکه امکان می‌ دهد تا کنترل کاملی بر ترافیک ورودی، خروجی و عبوری داشته باشد و امنیت شبکه را با تعریف قوانین دقیق تأمین کند.

فایروال میکروتیک بر پایه مجموعه‌ ای از قوانین (Rules) عمل می‌ کند. این قوانین مشخص می‌ کنند که با بسته‌ های داده (Packet) با ویژگی‌ های مشخص، چه برخوردی صورت گیرد. رفتار های ممکن شامل اجازه عبور (accept)، مسدود سازی (drop)، بازگرداندن پیغام خطا (reject) یا صرفا ثبت در گزارش‌ ها (log) است.

نکته مهم این است که قوانین در فایروال میکروتیک که از تجهیزات شبکه است، به ترتیب از بالا به پایین بررسی می‌ شوند و اولین قانونی که با ویژگی‌ های بسته مطابقت داشته باشد، اجرا می‌ شود. بنابراین، ترتیب قرار گیری قوانین در فایروال بسیار مهم است. در میکروتیک، بسته‌ های داده بر اساس مسیر ورود و خروج‌ شان، در یکی از سه زنجیره اصلی (Chains) قرار می‌ گیرند که در ادامه به معرفی آن ها می پردازیم.

در این تصویر تنظیمات فایروال در میکروتیک به زبان ساده مشاهده می کنید

زنجیره Input در فایروال میکروتیک: خط مقدم دفاع از روتر

در ساختار فایروال RouterOS، سه زنجیره اصلی برای کنترل ترافیک تعریف شده است: Input، Forward و Output. در این میان، زنجیره Input نقشی حیاتی دارد؛ زیرا مسئول بررسی تمام بسته‌ هایی است که مقصد آن‌ ها خود روتر است. این زنجیره مانند دروازه‌ ای عمل می‌ کند که از طریق آن می‌ توان به سرویس‌ های داخلی روتر دسترسی پیدا کرد، و به همین دلیل اولین خط دفاعی در برابر دسترسی‌ های غیر مجاز محسوب می‌ شود.

هر زمان که یک دستگاه یا کاربر بخواهد از طریق یکی از ابزار های مدیریتی مانند Winbox، SSH، Telnet یا WebFig به روتر متصل شود، بسته‌ های ارسالی او ابتدا وارد زنجیره Input می‌ شوند. همچنین، خدماتی مانند DNS، NTP، API، SNMP یا حتی پاسخ‌ گویی به پینگ (ICMP) نیز همگی از طریق این زنجیره مدیریت می‌ شوند.

عملکرد فایروال در زنجیره Input بر اساس مجموعه‌ ای از قوانین مشخص صورت می‌ گیرد. این قوانین تعیین می‌ کنند که بسته‌ های ورودی با چه شرایطی مجاز به عبور هستند یا باید مسدود شوند. پارامتر هایی مانند آدرس IP مبدأ، پورت مقصد، نوع پروتکل، رابط ورودی (Interface) و وضعیت اتصال (New, Established, Related) در این تصمیم‌ گیری نقش دارند. اگر بسته‌ ای با یکی از قوانین مطابقت داشته باشد، عملیات مشخصی مانند قبول (Accept)، رد (Drop یا Reject) یا ثبت در گزارش (Log) روی آن انجام می‌ شود.

اهمیت زنجیره Input به این دلیل است که هرگونه غفلت در تنظیم قوانین آن می‌تواند منجر به نفوذ به روتر و در نهایت تهدید کل شبکه شود. برای حفظ امنیت، لازم است تنها به IPهای مورد اعتماد اجازه اتصال داده شود و دسترسی به پورت‌های مدیریتی مانند SSH (پورت ۲۲) یا Winbox (پورت ۸۲۹۱) به‌دقت کنترل گردد.

زنجیره Forward در فایروال میکروتیک: کنترل ترافیک عبوری از روتر

در ساختار فایروال RouterOS، زنجیره Forward وظیفه بررسی بسته‌ هایی را دارد که از روتر عبور می‌ کنند، اما مقصد آن‌ ها خود روتر نیست. این زنجیره زمانی فعال می‌ شود که داده‌ ای از یک دستگاه شبکه به دستگاه یا مقصدی دیگر ارسال می‌ شود و روتر صرفا به‌ عنوان یک واسط یا مسیر عبور عمل می‌ کند.

به بیان ساده‌ تر، هر زمان که یک دستگاه در شبکه داخلی بخواهد به اینترنت یا به دستگاه دیگری در یک شبکه دیگر متصل شود، بسته‌ های ارسالی آن از طریق زنجیره Forward عبور می‌ کنند. برای مثال، وقتی یک کاربر در شبکه به مرورگر خود آدرس یک وب‌ سایت را وارد می‌ کند، ترافیک ایجادشده برای آن درخواست از طریق روتر به اینترنت ارسال می‌ شود. در این مسیر، بسته‌ های داده ابتدا وارد روتر شده و پس از بررسی در زنجیره Forward، در صورت تأیید، به سمت مقصد هدایت می‌ شوند.

زنجیره Forward اغلب پر کاربرد ترین و پر ترافیک‌ ترین زنجیره در فایروال محسوب می‌ شود، چرا که عمده فعالیت‌ های کاربران و ارتباطات بین‌ دستگاهی از طریق آن انجام می‌ شود. همین ویژگی باعث می‌ شود که تعریف قوانین امنیتی در این زنجیره از اهمیت بالایی برخوردار باشد. عملکرد فایروال در این زنجیره بر اساس قوانینی است که مدیر شبکه تعیین می‌ کند. این قوانین می‌ توانند شامل موارد زیر باشند.

زنجیره Output در فایروال میکروتیک: بررسی ترافیک خروجی از خود روتر

در ساختار فایروال RouterOS، که در روتر های میکروتیک استفاده می‌ شود، ترافیک شبکه به سه زنجیره اصلی تقسیم می‌ شود: Input، Forward و Output. زنجیره Output به‌ طور خاص مسئول بررسی تمام بسته‌ هایی است که توسط خود روتر تولید شده و به سمت منابع خارجی ارسال می‌ شوند. برخلاف زنجیره Input که ترافیک ورودی به روتر را بررسی می‌ کند، و زنجیره Forward که به ترافیک عبوری بین دستگاه‌ ها رسیدگی می‌ کند، زنجیره Output تنها به بسته‌ هایی می‌ پردازد که منبع آن‌ ها خود روتر است.

این زنجیره زمانی فعال می‌ شود که روتر قصد دارد با یک مقصد خارجی ارتباط برقرار کند، نه اینکه صرفا نقش واسطه داشته باشد. برای مثال، زمانی که روتر به یک سرور DNS برای حل یک نام دامنه، یا به یک سرور NTP برای همگام‌ سازی زمان متصل می‌ شود، تمامی بسته‌ های ارسالی از سوی روتر در قالب زنجیره Output پردازش می‌ شوند. همچنین، در مواردی که روتر بخواهد لاگ‌ ها یا اطلاعات نظارتی را به یک سرور مانیتورینگ یا syslog ارسال کند، این ترافیک نیز از طریق همین زنجیره عبور می‌ کند.

گرچه زنجیره Output نسبت به سایر زنجیره‌ ها حجم ترافیک کمتری را پردازش می‌ کند، اما از نظر امنیت شبکه و کنترل دقیق رفتار های داخلی روتر اهمیت بسیار بالایی دارد. از طریق این زنجیره، می‌ توان رفتار های ارتباطی روتر را محدود، ثبت یا مسدود کرد تا از ارسال اطلاعات به منابع ناخواسته یا غیر مجاز جلوگیری شود.

این زنجیره ابزار مهمی برای مدیران شبکه فراهم می‌ آورد تا اطمینان حاصل کنند که روتر فقط با سرور های مورد تأیید مانند DNS و NTP داخلی یا سرور های مدیریتی سازمان ارتباط برقرار می‌ کند. هرگونه تلاش برای برقراری ارتباط با سرور های خارجی ناشناس، در صورت تعریف قوانین مناسب در زنجیره Output، قابل شناسایی، ثبت یا مسدود سازی خواهد بود. این موضوع در محیط‌ های حساس و زیرساخت‌ های امنیتی بسیار حیاتی است و می‌ تواند از نفوذ ها، ارسال اطلاعات به خارج، یا اجرای ناخواسته دستورات جلوگیری کند.

فایروال در میکروتیک چگونه کار می‌ کند؟

برای کار با فایروال میکروتیک، راحت‌ ترین راه استفاده از نرم‌ افزار Winbox است. این نرم‌ افزار محیط گرافیکی ساده و کاربردی دارد و به کاربران امکان می‌ دهد بدون نیاز به خط فرمان، به‌ راحتی قوانین مورد نظر خود را ایجاد کنند. وقتی وارد Winbox شدید، کافی است از منوی سمت چپ به مسیر IP > Firewall بروید و از تب Filter Rules برای ساخت قوانین استفاده کنید. برای مثال، فرض کنیم می‌خواهید دسترسی به پینگ روتر را مسدود کنید.

پینگ کردن یک ابزار ابتدایی برای بررسی در دسترس بودن سیستم‌ ها در شبکه است، اما از سوی دیگر، اگر کسی بتواند روتر شما را پینگ کند، یعنی می‌ داند که دستگاه شما روشن و در دسترس است؛ بنابراین مسدود سازی پینگ، یک اقدام امنیتی ساده اما مؤثر است. در Winbox یک قانون جدید ایجاد می‌ کنید، در بخش Chain گزینه Input را انتخاب کرده، پروتکل را ICMP (که پینگ از آن استفاده می‌ کند) قرار می‌ دهید، و در بخش Action گزینه drop را می‌ زنید. با این قانون، دیگر هیچ دستگاهی از بیرون شبکه نمی‌ تواند روتر شما را پینگ کند.

فایروال فقط برای محدود سازی نیست؛ بلکه می‌ توان با آن دسترسی‌ های خاص را نیز مجاز کرد. به‌ عنوان نمونه، ممکن است بخواهید فقط یک IP خاص مثلاً 192.168.1.100 اجازه اتصال به Winbox را داشته باشد. در این صورت، قانونی ایجاد می‌ کنید که در آن Chain برابر Input باشد، آدرس مبدا همان IP ذکر شده باشد، پورت TCP برابر 8291 (پورت Winbox) انتخاب شود، و در Action گزینه accept قرار گیرد.

باید توجه داشته باشید که ترتیب قوانین در فایروال میکروتیک بسیار مهم است. چون فایروال به‌ صورت ترتیبی عمل می‌ کند و به محض این‌که بسته‌ ای با یکی از قوانین مطابقت داشته باشد، دیگر قوانین بعدی بررسی نمی‌ شود. بنابراین قانونی که اجازه دسترسی به IP خاص را می‌ دهد، باید قبل از قوانینی باشد که دسترسی دیگران را مسدود می‌ کند.

در این تصویر شاهد قاروال در میکروتیک می باشید

یکی از کاربرد های بسیار مهم فایروال، مدیریت رفتار کاربران داخل شبکه است. مثلا ممکن است بخواهید دسترسی کاربران به وب‌ سایت‌ های خاص مانند تلگرام را محدود کنید. برای انجام این کار، می‌ توانید از چند روش استفاده کنید: استفاده از آدرس‌ های IP سرور های تلگرام، استفاده از پروتکل‌ ها و پورت‌ های خاص مثل 443 (SSL) یا حتی تشخیص دامنه‌ های تلگرام با استفاده از قابلیت Layer7.

در هر صورت قانونی می‌ سازید که در آن زنجیره Forward انتخاب شده و در Action گزینه drop فعال می‌ شود. اگر تعداد کاربران زیاد است، توصیه می‌ شود از لیست‌ های آدرس یا همان Address List استفاده کنید. به‌ جای این‌ که برای هر IP یک قانون جداگانه بنویسید، همه‌ی IP های مورد نظر را در یک لیست قرار داده و فقط یک قانون بنویسید که می‌ گوید: اگر آدرس مبدا در این لیست بود، ترافیک را مسدود کن. این روش باعث سادگی مدیریت، انعطاف‌ پذیری بیشتر و کاهش خطا در پیکربندی می‌ شود.

یکی دیگر از قابلیت‌ های فایروال میکروتیک، ثبت گزارش یا همان لاگ‌ گیری از بسته‌ ها می باشد. گاهی لازم است بدانید که آیا یک قانون واقعا اجرا شده یا خیر. برای این کار در بخش Action گزینه log را انتخاب کرده و یک متن توصیفی به دلخواه وارد می‌ کنید. پس از آن، در قسمت Log می‌ توانید این گزارش‌ ها را مشاهده کنید. این کار برای عیب‌ یابی و تست قوانین بسیار مفید است. موضوعی که نباید از آن غافل شد، حملات سایبری رایج به روتر ها می باشد؛ به‌ ویژه حملاتی مانند Brute Force که در آن هکر با امتحان کردن تعداد زیادی نام کاربری و رمز عبور سعی در ورود به روتر دارد.

با استفاده از فایروال میکروتیک، می‌ توانید آی‌ پی‌ هایی که تعداد مشخصی تلاش ناموفق برای اتصال دارند را به‌ صورت خودکار در یک لیست سیاه قرار دهید. این کار به کمک Address List و قوانین هوشمندانه انجام می‌ شود. ابتدا آی‌ پی‌ هایی که تعداد زیادی درخواست جدید به پورت SSH ارسال می‌ کنند در یک لیست موقت قرار می‌ گیرند. اگر این رفتار ادامه پیدا کند، همان آی‌ پی وارد لیست سیاه می‌ شود و برای مدت مشخصی مثلا یک روز مسدود خواهد شد. این روش دفاعی به‌ صورت خودکار جلوی بسیاری از حملات را می‌ گیرد و امنیت روتر را تا حد زیادی افزایش می‌ دهد.

نتیجه گیری و سوالات متداول

در دنیای دیجیتال امروز که امنیت اطلاعات و ارتباطات نقش حیاتی در زندگی شخصی و کاری ما ایفا می‌ کند، داشتن ابزاری کارآمد و قابل اعتماد برای محافظت از شبکه‌ ها ضروری است. فایروال میکروتیک در قالب سیستم‌عامل RouterOS، دقیقا چنین ابزاری است؛ یک دیوار دفاعی هوشمند و منعطف که می‌ تواند شبکه شما را از تهدیدات داخلی و خارجی محافظت کند.

همان‌ طور که در این مقاله آموزش دادیم، فایروال میکروتیک با استفاده از زنجیره‌ های Input، Forward و Output به شما این امکان را می‌ دهد که بسته‌ های داده را بر اساس منبع، مقصد و مسیر آن‌ ها بررسی کرده و تصمیم بگیرید چه ترافیکی مجاز باشد و چه ترافیکی مسدود شود. این ساختار منظم باعث می‌ شود که بتوانید به‌ سادگی اما با دقت، کنترل کاملی بر ورودی‌ ها، خروجی‌ ها و ترافیک عبوری داشته باشید.

از محدود کردن دسترسی به پورت‌ های مدیریتی، جلوگیری از پینگ‌ شدن روتر، مسدود سازی دسترسی کاربران به سایت‌ های خاص، گرفته تا شناسایی و مقابله با حملات Brute Force، همگی تنها با چند قانون ساده در فایروال قابل پیاده‌ سازی هستند. به‌ علاوه، قابلیت‌ هایی مانند ثبت گزارش‌ ها (Logs)، استفاده از Address Listها، و تعریف قوانین هوشمندانه، قدرت این ابزار را دوچندان می‌ کند.

نکته کلیدی در موفقیت استفاده از فایروال میکروتیک، درک درست از منطق عملکرد آن و ترتیب اجرای قوانین است. اگر این مفاهیم را به‌ درستی فرا بگیرید و در عمل تمرین کنید، خواهید دید که پیاده‌ سازی یک فایروال امن نه‌ تنها پیچیده نیست، بلکه بسیار لذت‌ بخش و اطمینان‌ بخش خواهد بود.

فایروال در میکروتیک چیست و چه کاربردی دارد؟

فایروال میکروتیک سیستمی برای کنترل دسترسی به شبکه است. این ابزار بررسی می‌کند که کدام بسته‌های داده اجازه عبور از شبکه را دارند و کدام باید مسدود شوند. با کمک آن می‌توان از دسترسی‌های غیرمجاز، بدافزارها و حملات سایبری جلوگیری کرد.

تفاوت بین زنجیره‌های Input، Forward و Output چیست؟

• Input: برای ترافیکی است که مقصد آن خود روتر است (مثلاً اتصال به Winbox)

• Forward: برای ترافیکی است که فقط از روتر عبور می‌کند (مثلاً اینترنت کاربران)

• Output: برای بسته‌هایی است که خود روتر تولید کرده (مثلاً درخواست به سرور DNS)

چطور پینگ شدن روتر را مسدود کنم؟

در بخش Filter Rules، یک قانون در زنجیره Input بسازید، پروتکل را ICMP انتخاب کرده و Action را روی Drop بگذارید. این باعث می‌شود کسی نتواند روتر را پینگ کند.

آیا فایروال میکروتیک می‌تواند لاگ بگیرد؟

بله، در قسمت Action می‌توانید گزینه Log را فعال کنید تا اطلاعات مربوط به بسته‌ها ثبت شود. این ویژگی برای عیب‌یابی یا بررسی فعالیت‌های مشکوک بسیار مفید است.