مقدمه : چند وقتي ست كه به فايروال ميكروتيك علاقمند شدم . و سعي كردم كار كردن با اونو ياد بگيرم . چيز زيادي نيست اما سعي مي كنم اونو با شما به اشتراك بزارم . الزاما تمام مواردي كه عرض مي كنم درست نيست و خواهش مي كنم در صورتي كه متوجه كاستي يا اشتباهي شديد لطفا تصحيح بفرماييد . ادامه كار هم بسته به توجه و علاقه دوستان داره .
بحث در اين تاپيك فعلا مربوط به منوي filter مي باشد . و فعلا مباحث لايه 7 و منگل رو بررسي نمي كنيم …
در صورتي كه نمي دونيد فايروال چيست به تاپيك زير سر بزنيد :‌

در صورتي كه نمي دانيد ميكروتيك چيست به تاپيك زير سر بزنيد :

لطفا در صورت داشتن هر گونه سوال در مورد اين مباحث به تاپيك زير سر بزنيد :

يا
Chain ها به چه دردي مي خورند ؟

فايروال بر اساس قوانيني كار مي كند كه به آنها rule گفته ميشود .رول ها از دو قسمت تشكيل ميشوند . قسمت تشخيص دهنده و قسمت قانون . وظيفه قسمت تشخيص دهنده اين است كه پكت هاي مورد نظر مدير شبكه را مشخص كند و قانون برنامه اي است كه ما براي اين پكت ها ترتيب داده ايم – مثلا مسدود شوند –
تعداد رول ها ارتباط مستقيمي با حجم پردازش روتر دارد . يعني رول بيشتر مساوي ست با پردازش بيشتر . به همين دليل سعي مي كنيم رول ها را دسته بندي و در صورت نياز مورد بررسي و تحت اجرا قوانين قرار دهيم . مثلا قرار است شما يك سري قوانين براي ترافيك مربوط به برنامه هاي p2p در نظر گرفته ايد . پس دليلي ندارد ترافيك مربوط به ساير پروتكل ها را بررسي و زمان پردازنده را اتلاف كنيم . اين كار توسط چين ها صورت مي پذيرد . چين ها خود به دو گروه تقسيم مي شوند :
1- از پيش تعريف شده
2- تعريف شده توسط كاربر
در ميكروتيك شما با سه چين از پيش تعريف شده سروكار داريد . همچنين لازم به ذكر است كه اين چين ها غير قابل حذف مي باشند
1- چين input : اين چين مربوط به دسته پكت هايي است كه مقصدشان خود دستگاه شماست . مثلا كاربري از اينترنت دستگاه شما را پينگ كند . يا زماني كه شما با كمك وين باكس يا ديگر روش هاي ممكن به ميكروتيك متصل شويد . اين گونه ترافيك ها در اين چين قرار مي گيرند .
2- output : مربوط است به ترافيكي كه از خود روتر شما خارج – چه اينترنت و چه شبكه محلي – مي شود . مثلا از داخل روتر سعي در تل نت كردن به سيستم يا دستگاهي را داشته باشيد . يا روتر سعي در اتصال به سرويس دهنده هاي DNS يا NTP و امثالهم را داشته باشد .
3- چين forward : مربوط به ترافيكي است كه از روتر شما عبور مي كند . مثلا يك سيستم داخلي درخواست سايتي را از اينترنت داشته باشد . و روتر شما نقش گيت وي را داشته باشد .
در ادامه به چين هاي تعريف شده توسط كاربر و دليل و زمان استفاده از آنها اشاره خواهيم كرد .

First rule

همانطور كه اشاره شد با كمك چين ها شما مي توانيد دايره تاثير گذاري قوانين فايروال –رول ها – رو محدود كنيد . بر فرض مثال شما بعنوان مدير شبكه تصميم گرفته ايد براي امنيت بيشتر كسي خارج از شبكه نتواند روترتان را پينگ كند . اولين قدم اين است با شناخت نوع ترافيك محدوده تاثير گذاري رول را تا حداكثر ممكن محدود كنيم . چون صرفا هدف بستن پينگ بر روي روتر است ، فقط پكت هايي را بايد پالايش و بررسي كرد كه مقصدشان خود روتر شماست . يعني چين input . بعد همانطور كه مي دانيد دستور پينگ از پروتكل icmp ‌‌ استفاده مي كند . پس باز نيازي به بررسي ساير پروتكل ها نيست . البته شناخت نوع ترافيك هميشه به همين سادگي نيست . مثلا بررسي رفتار ويروس ها يا هكر ها . پس شما بعنوان متخصص امنيت يا مدير شبكه نيازمند دانش وسيعي ازسرويس ها و پروتكل ها و لايه ها و پورت هاي مورد استفاده آنها هستيد . اجازه بدهيد با هم مثال فوق را انجام بدهيم .
براي اينكار كافي است از منوي ip گزينه فايروال را انتخاب كرده و سپس از تب filter rules گزينه “+”‌ را كليك كنيم . – در مثال هاي بعد از اين مرحله چشم پوشي خواهيم كرد – در پنجره باز شده شما مي توانيد قوانين تشخيص را مشخص كنيد و در نهايت از تب اكشن نحوه برخورد را مشخص كنيد .
در اين مثال ما با چهار گزينه آبي رنگ – اول – سر و كار داريم . در مورد chain به تفصيل صحبت كرديم . و همانطور كه مي بينيد بر اساس نياز گزينه input انتخاب شده . Source و destination address به ترتيب به منبع و مقصد ترافيك اشاره مي كند . در اين مثال مي توانيد مقصد را بدون استفاده رها كنيد چون چين input مقصد را مشخص كرده است . اما مبدا . ما بايد بتوانيم رنج هايي كه دسترسي آنها بايد مسدود شود را مشخص كنيم . يعني تمام رنج هاي مورد استفاده در اينترنت ! ممكن نيست ! پس از روش ديگري استفاده مي كنيم . رنج مجاز را انتخاب مي كنيم و مي گويم هر آدرسي كه جز اين رنج نيست . مثلا آدرس شبكه محلي در مثال فوق رنج 192.168.1.0/24 مي باشد . پس هر رنجي غير از اين حق پينگ ندارد . در كادر source address رنج مذكور را مي نويسيم . اين يعني كه اين رنج حق دسترسي ندارد ! براي معكوس كردن اين دستور روي مربع كوچك ابتداي كادر كليك مي كنيم . يك علامت “!” در كادر ظاهر ميشود . اين علامت شبيه عمگر not در برنامه نويسي عمل مي كند . يعني رنجي جز اين رنج حق دسترسي ندارد . و در نهايت پروتكل icmp را مشخص مي كنيم . اگر اين قسمت را خالي بگذاريد يعني هر پروتكلي . كه اين كار موجب عدم دسترسي به سايت روتر – اتصال از طريق وين باكس و … نيز مي گردد .
در حين تعريف قوانين بسيار دقيق باشيد ، چرا كه ممكن است دسترسي خودتان را نيزقطع كنيد . البته چون فايروال در لايه سه كار مي كند ارتباطات بر پايه مك آدرس شامل اين قوانين نمي شوند . اگر احيانا در تنظيمات دچار اشتباه شديد با كمك وين باكس و بوسيله مك آدرس به روترتان متصل شويد و اشتباه را تصحيح كنيد .

سعي كنيد براي هر رول با كمك دكمه comment يك توضيح كوتاه اضافه كنيد . تا در آينده قادر به تشخيص رول ها و دليل وجود آنها باشيد .
بعد از تكميل نحوه شناخت ترافيك به نحوه برخورد با ترافيك يا نيمه دوم مي پردازيم . براي اينكار به تب action رفته و گزينه drop به معناي مسدود كردن را انتخاب مي كنيم . در مورد ساير اكشن ها بعدا صحبت خواهيم كرد .
Rule دوم
خوب بياييد يك مقدار كار را جلوتر ببريم . و يك رول جديد به فايروال مان اضافه كنيم . مثلا از شما خواسته شده به ip 10.10.10.10 اجازه پينگ كردن روترتان را بدهيد . مانند قبل يك رول اضافه مي كنيد و تنظيمات را مشابه قبل انجام مي دهيد . با اين تفاوت كه در source address اي پي مورد نياز را مي نويسيد . و بر خلاف رول قبل ، در قسمت اكشن گزينه accept را انتخاب ميكنيد . مانند شكل زير :

حال اگر درست عمل كرده باشيد بايد منوي فيلترتان مانند زير باشد :

حال اگر از اي پي مشخص شده كسي سعي در پينگ روتر شما داشته باشد ، بر خلاف انتظار شما نتيجه اي نخواهد گرفت ! – اين مورد را امتحان كنيد – يكي از نكات مهم در نوشتن رول ها كه بايد به آن توجه فراواني داشته باشيد نحوه اجرا شدن آنها توسط ميكروتيك است . ميكروتيك به ترتيب شماره رديف رول آنرا اجرا مي كند . يعني پكت ابتدا با رول شماره صفر مقايسه ميشود اگر با آن مچ شد ، قانون در موردش اجرا ميشود و ديگر رول هاي بعدي بررسي نميشود . و در صورتي كه پكتي با هيچ كدام از قوانين مچ نشود به صورت پيش فرض مجاز شناخته شده و عبور داده ميشود . اين يكي از مهمترين تفاوت هاي فايروال ميكروتيك با فايروال سيسكو ست . در سيسكو اگر پكتي با هيچ كدام از رول هاي موجود مچ نشود عبور داده نخواهد شد . براي تصحيح ترتيب رول ها ، فقط كافي است آنرا درگ اند دراپ كنيد به رديف مورد نظرتان .
براي اينكه مطمئن شويد رولي اجرا ميشود و يا اصلا درخواست به آن رول ميرسد يا خير فقط كافي است به دو گزينه bytes و packets دقت كنيد . ايندو به شما خواهند گفت تا كنون چند پكت به اين رول رسيده و قانون رول رويش اجرا شده است . براي صفر كردن اين دو قسمت كافي است از دكمه هاي reset counters و reset all counters استفاده كنيد .