فایروال میکروتیک یکی از قسمت های پرکاربرد این روتر می باشد . اگر چه این فایروال کامل نیست ولی می توانید برای حفاظت از خود روتر از آن به شکل گسترده ای استفاده کنید.
میکروتیک هم مانند بیشتر روتر ها به یک فایروال مجهز است . از آنجایی که شرکت میکروتیک همچون بزرگان تولید کننده تجهیزات شبکه دستگاه فایروال مستقل شبکه ندارد . فایروال داخل روتر خود را کمی مجهز تر کرده است هرچند این فایروال به هیچ وجه نمی تواند جایگزین یک UTM و یا فایروال سخت افزاری شود ولی می تواند در پروژه هایی که قیمت تمام شده آن مهم می باشد از آن استفاده کرد.
در ضمن میکروتیک به یک فایروال لایه 7 هم مجهز می باشد که در واقع در لایه Application کار می کند هر چند فایروال لایه 7 میکروتیک هم خیلی کارآمد نیست ولی در بعضی از مواقع کار شما را راه خواهد انداخت.
رول های فایروال بخصوص رول های فایروال لایه 7 ، بار زیادی بر روی پردازنده روتر بورد میکروتیک اعمال خواهد کرد پس دقت داشته باشید در صورتی که تعداد رول های فایروال شما زیاد می باشد و یا به صورت گسترده از فایروال لایه هفت استفاده می کنید در انتخاب روتر بورد مناسب بسیار دقت کنید تا کیفیت سرویس دهی روتر شما پایین نیاید.
برای دسترسی به فایروال میکروتیک از منو سمت چپ ابتدا گزینه IP و سپس Firewall را انتخاب کنید در پنجره باز شده به تب filter role بروید .
تعریف chain در فایروال میکروتیک
فایروال میکروتیک به صورت پیشفرض دارای سه chain می باشد.
- Inpute chain منظور بسته های وردی به روتر است . در واقع زمانی که مقصد یک بسته خود روتر باشد این بسته در Input chain قرار دارد . مانند زمانی که از میکروتیک به عنوان DNS سرور استفاده میکنید بسته های DNS در input chain قرار دارند .
- Output chain منظور بسته های است که از روتر خارج می شوند . در واقع بسته هایی که آدرس مبدا آنها خود روتر است . مانند بسته ای NTP که روتر به اینترنت ارسال میکند تا ساعت خود را تنظیم کند.
- Forward chain منظور بسته هایی است که قصد عبور از روتر را دارند . مانند زمانی که روتر فقط بسته ها را مسیر یابی میکند . و آدرس مبدا و مقصد بسته هیچ یک از آدرس های روتر بورد نمی باشد.
توجه داشته باشید که میکروتیک قابلیت تعریف chain جدید را دارد ولی از آنجایی که آموزش این قسمت در مجموعه MTCNA نمی گنجد در این سری مقالات آموزش میکروتیک به آن نخواهیم پرداخت.
اضافه کرد رول جدید به میکروتیک بسیار ساده است روی علامت add کلیک کرده به تب General می رویم و سپس chain مورد نظر خود را انتخاب و دیگر ، وابسته به سناریو فیلد ها را پر میکنیم دقت کنید که خالی گذاشتن هر فیلد بدان معناست که آن فیلد بی اهمیت می باشد. سپس به تب Action می رویم و نوع عملکرد فایروال با بسته ای که با این رول انطباق پیدا میکند را انتخاب می کنیم .
سه مورد از Action های مهم میکروتیک به شرح زیر می باشد :
- Accept در واقع این عملکرد اجازه عبور بسته را می دهد .
- Drop این عمکرد بسته را دور می اندازد و نتیجه ای به فرستنده ارسال نمی کند .
- Reject این عملکرد بسته را دور می اندازند و نتیجه را به فرستنده اعلام می کند .
فایروال میکروتیک هم مانند همه فایروال های دیگر رول ها را از بالا به پایین بررسی می کند و در صورت انطباق بسته با هر یک از رول ها بقیه رول ها نادیده گرفته می شوند .
در winbox با استفاده از Drag & Drop می توانید رول را جابه جا کنید .
برای عملکر بهتر فایروال حتما این سه رول در فایروال با اولویت بالا قرار دهید در غیر اینصورت ممکن است بعضی از رول ها به درستی کار نکنند .
برای اعمال این رول ها کافیست دستورات زیر را در ترمینال میکروتیک کپی کنید .
/ip firewall filter
add chain=forward connection-state=established comment="allow established connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"
مسدود کردن تلگرام توسط فایروال میکروتیک
هر چند فیلترینگ اپلیکشن ها باید در لایه نرم افزار انجام شود ولی در صورتی که تجهیزات لازم برای اینکار را ندارید می توانید از فایروال میکروتیک برای اینکار استفاده کنید .
فرض بر این است که شما به وسیله میکروتیک به کاربرانتان اینترنت میرسانید. برای مسدود کردن تلگرام باید دسترسی کاربرانتان را به چند آدرس IP مسدود کنید .
برای اینکار ابتدا در پنجره فایروال به تب Adresslists می رویم .
در این قسمت با کلیک روی ADD این سه آدرس IP را با نام دلخواه درج می کنیم. ( نام برای هر سه آدرس باید یکی باشد )
به عنوان مثال ما در اینجا نام را Telegram قرار می دهیم .
مانند شکل زیر این سه آدرس IP به Addresslist اضافه می شوند .
به تب filter rules برمیگردیم و یک رول جدید اضافه می کنیم از آنجایی که این رول باید جلوی بسته های عبوری را بگیرد در تب General فیلد chain را روی Forward قرار می دهیم . به تب Advance می رویم و در قسمت Dst . address list آدرس لیستی که ساخته ایم را اضافه می کنیم .
سپس به تب Acction می رویم و action را روی Drop یا Reject قرار می دهیم.
در واقع به دلیل خالی گذاشتن فیلد آدرس مبدا عمل فیلترینگ برای همه کلاینت ها انجام می شود.
توجه داشته باشید این روش در زمان نگارش این مطلب کار خواهد کرد ولی ممکن است در آینده با تغییر آدرس IP سرور های پیامرسان تلگرام یا اضافه شدن سرور های جدید این روش پاسخگوی نیاز شما نباشد.