مشاهده نسخه کامل
: آموزش نصب و کانفیگ MikroTik
Mohammad
09-08-2008, 22:09
● MikroTik
MikroTik یک سرور مبتنی بر kernel لینوکس است که بر روی یک pc معمولی قابل نصب و سرویس دهی به صورت کاملا پایدار می باشد.
MikroTik ویژگی های زیادی دارد که برخی از آنها را ذکر میکنیم.
یکی از ویژگی های MikroTik این است که اکثر سرویسهای آن مانند NAT , Bandwidth Manager , Filtering و ...
بر روی Layer۳ انجام می پذیرد و به همین دلیل نیازی به لایه های بالاتر ندارد که این خود مقدار قابل توجهی در بالا بردن کیفیت و performance سیستم تاثیر دارد. این امر به ما این امکان را می دهد که بر روی یک pc معمولی به عنوان مثال یک کامپیوتر Pentium ۲ با ۶۴M فضای RAM مقدار زیادی پهنای باند را رد کرده و اعمالی مثل NAT و Filtering روی آنها انجام دهیم.
در واقع MikroTik از pc های ما یک router کارآمد می سازد و این امکان را به ما می دهد که به آسانی بر روی آن پورتهای مختلف را اضافه و کم کنیم.
یکی دیگر از ویژگی های MikroTik پایداری آن است. MikroTik همانند یک روتر قوی از سرعت بوت بالا و عملکرد خودکار بدون نیاز به هیچ گونه login یا استارت کردن هر نوع سرویس بر خوردار است.
علاوه بر دسترسی محلی می توان MikroTik را به وسیله Telnet و SSH و Web server داخلی آن و رابط ویندوزی ارائه شده به همراه MikroTik به نام Winbox تنظیم کرد.
دیگر قابلیت قابل توجه MikroTik سرعت نصب و سرعت تنظیمات آن است. MikroTik در عرض چند دقیقه نصب و براحتی تنظیم میشود و این قابلیت در آن وجود دارد که بتوان تنظیمات آن را Import و Export کرد.
دیگر نقطه قوت MikroTik به صرفه بودن آن نسبت به نمونه های مشابه سخت افزاری است.
با خرید یک عدد RouterOs و یک سرور با قدرتی متناسب با کار ما میتوانیم کارایی گرانفیمت ترین سخت افزارهارا با چندین برابر هزینه کمتر داشته باشیم.
البته بماند که ما اکثرا از ورژن های کرک شده استفاده کرده و آنچنان پهنای باندی نداریم که بیشتر از یک کامپیوتر P۳ نیاز شود.
در ادامه بعد از توضیح و آموزش NAT, Filtering توسط MikroTik به یک مثال برای یادگیری بیشتر خواهیم پرداخت.
● NAT:
NAT یا Network Address Translation یک استاندارد در اینترنت است که به کامپیوتر های داحل یک شبکه این اجازه را می دهد که از یک رنج IP برای ارتباط داخلی و از یک رنج دیکر برای ارتباط خارجی استفاده کنند. به شبکه داحلی که از NAT استفاده می کند اصطلاحا Natted Network می گویند.
برای ایجاد NAT باید در شبکه داخلی یک عدد NAT gateway داشته باشیم که ترجمه آدرسها در آن صورت گیرد.
در کل ۲ نوع NAT وجود دارد
۱) SRCNAT یا Source Nat :
از این فرم Nat وقتی استفاده میکنیم که می خواهیم IP های Invalid یک شبکه داخلی یا Natted Network را به یک Valid IP ترجمه کنیم.در این حالت هر پکتی که به gateway برسد IP آن به یک Valid IP ترجمه گشته و بر روی اینترنت ارسال می شود.
عکس این عمل برای پکت هایی که به پکت های قبلی Reply می شوند صادق است و عکس این عمل صورت میگیرد.
۲) DSTNAT یاDestination Nat :
این فرم NAT را وقتی انجام می دهیم که بخواهیم یک شبکه private را برای شبکهpublic خود قابل دسترسی قرار دهیم. در این عمل Valid IP خود را به Invalid IP ترجمه میکنیم.
● Redirect و Masquerade
Redirect و Masquerade یک نوع خاص dstnat و srcnat است. Redirect یک نوع از dstnat است که نیازی به تعریف to-address ندارد و تنها شناساندن اینترفیس ورودی کافی است و Masquerade یک نوع srcnat است که نیازی به تعریف to-address ندارد و تنها معرفی یک اینترفیس خروجی کافی است.
در این حالات دیگر فرقی ندارد که چه IP به اینترفیس ها متصل میگردد هر IP در رنج IP های add شده به اینترفیس عمل می کند.
در Redirect فیلد to-port برای فرستادن کل ترافیک به یک پورت خاص است که بیشتر برای اعمالی نظیر web-proxy استفاده می شود.
========
انجمن تخصصی شبکه
آموزش تصویری راه اندازی --- Server بر روی MikroTik
این آموزش به صورت تصویری و با استفاده از winbox جهت راه اندازی --- سرور بر روی میکروتیک تهیه شده است.
در این آموزش بصورت کامل با تنظیمات اولیه و تنظیمات مربوط به راه اندازی --- سرور با پروتکل های PPTP و L2TP آشنا خواهیم شد که اهراز هویت کاربران بر روی خود میکروتیک صورت می گیرد , بدین معنی که اکانت کاربران بر روی میکروتیک ساخته می شوند.
برای مشاهده آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
برای دانلود آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
منبع:persianadmins
يك مجموعه كامل آموزشي ميكروتيك (حدود 45مگابايت)
يك مجموعه كامل آموزشي ميكروتيك (حدود 45مگابايت)
Pdf, Pictures, Text - all about MikroTik RouterOS, how to configure it
Tunels, firewalls, eoip, hotspot, pppoe, wds, routing, and all other modules.
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
1) Mikrotik Hotspot Gateway
2) آموزش MikroTik Bandwidth Manager
حجم فایل 1.05MB
(به زبان فارسی)
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
منبع:persianadmins
---------- Post added at 04:38 PM ---------- Previous post was at 04:34 PM ----------
میکروتیک - بخش اول - معرفی
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
MikroTik یک سرور مبتنی بر kernel لینوکس است که بر روی یک pc معمولی قابل نصب و سرویس دهی به صورت کاملا پایدار است.
MikroTik ویژگی های زیادی دارد که برخی از آنها را ذکر میکنیم.
یکی از ویژگی های MikroTik این است که اکثر سرویسهای آن مانند NAT , Bandwidth Manager , Filtering و ... بر روی Layer3 انجام می پذیرد و به همین دلیل نیازی به لایه های بالاتر ندارد که این خود مقدار قابل توجهی در بالا بردن کیفیت و performance سیستم تاثیر دارد. این امر به ما این امکان را می دهد که بر روی یک pc معمولی به عنوان مثال یک کامپیوتر Pentium 2 با 64M فضای RAM مقدار زیادی پهنای باند را رد کرده و اعمالی مثل NAT و Filtering روی آنها انجام دهیم.
در واقع MikroTik از pc های ما یک router کارآمد می سازد و این امکان را به ما می دهد که به آسانی بر روی آن پورتهای مختلف را اضافه و کم کنیم.
یکی دیگر از ویژگی های MikroTik پایداری آن است. MikroTik همانند یک روتر قوی از سرعت بوت بالا و عملکرد خودکار بدون نیاز به هیچ گونه login یا استارت کردن هر نوع سرویس بر خوردار است.
علاوه بر دسترسی محلی می توان MikroTik را به وسیله Telnet و SSH و Web server داخلی آن و رابط ویندوزی ارائه شده به همراه MikroTik به نام Winbox تنظیم کرد.
دیگر قابلیت قابل توجه MikroTik سرعت نصب و سرعت تنظیمات آن است. MikroTik در عرض چند دقیقه نصب و براحتی تنظیم میشود و این قابلیت در آن وجود دارد که بتوان تنظیمات آن را Import و Export کرد.
دیگر نقطه قوت MikroTik به صرفه بودن آن نسبت به نمونه های مشابه سخت افزاری است. با خرید یک عدد RouterOs و یک سرور با قدرتی متناسب با کار ما میتوانیم کارایی گرانفیمت ترین سخت افزارهارا با چندین برابر هزینه کمتر داشته باشیم. البته بماند که ما اکثرا از ورژن های کرک شده استفاده کرده و آنچنان پهنای باندی نداریم که بیشتر از یک کامپیوتر P3 نیاز شود.
در ادامه بعد از توضیح و آموزش NAT, Filtering توسط MikroTik به یک مثال برای یادگیری بیشتر خواهیم پرداحت.
NAT:
NAT یا Network Address Translation یک استاندارد در اینترنت است که به کامپیوتر های داحل یک شبکه این اجازه را می دهد که از یک رنج IP برای ارتباط داخلی و از یک رنج دیکر برای ارتباط خارجی استفاده کنند. به شبکه داحلی که از NAT استفاده می کند اصطلاحا Natted Network می گویند. برای ایجاد NAT باید در شبکه داخلی یک عدد NAT gateway داشته باشیم که ترجمه آدرسها در آن صورت گیرد.
در کل 2 نوع NAT وجود دارد
· SRCNAT یا Source Nat :
از این فرم Nat وقتی استفاده میکنیم که می خواهیم IP های Invalid یک شبکه داخلی یا Natted Network را به یک Valid IP ترجمه کنیم.در این حالت هر پکتی که به gateway برسد IP آن به یک Valid IP ترجمه گشته و بر روی اینترنت ارسال می شود. عکس این عمل برای پکت هایی که به پکت های قبلی Reply می شوند صادق است و عکس این عمل صورت میگیرد.
· DSTNAT یاDestination Nat :
این فرم NAT را وقتی انجام می دهیم که بخواهیم یک شبکه private را برای شبکهpublic خود قابل دسترسی قرار دهیم. در این عمل Valid IP خود را به Invalid IP ترجمه میکنیم.
Redirect و Masquerade
Redirect و Masquerade یک نوع خاص dstnat و srcnat است. Redirect یک نوع از dstnat است که نیازی به تعریف to-address ندارد و تنها شناساندن اینترفیس ورودی کافی است و Masquerade یک نوع srcnat است که نیازی به تعریف to-address ندارد و تنها معرفی یک اینترفیس خروجی کافی است. در این حالات دیگر فرقی ندارد که چه IP به اینترفیس ها متصل میگردد هر IP در رنج IP های add شده به اینترفیس عمل می کند. در Redirect فیلد to-port برای فرستادن کل ترافیک به یک پورت خاص است که بیشتر برای اعمالی نظیر web-proxy استفاده می شود.
Property Description
action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade | netmap | passthrough | redirect | return | same | src-nat; default: accept) - action to undertake if the packet matches the rule
accept - accepts the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it
add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter
add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter
dst-nat - replaces destination address of an IP packet to values specified by to-addresses and to-ports parameters
jump - jump to the chain specified by the value of the jump-target parameter
log - each match with this action will add a message to the system log
masquerade - replaces source address of an IP packet to an automatically determined by the routing facility IP address
netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks
passthrough - ignores this rule goes on to the next one
redirect - replaces destination address of an IP packet to one of the router's local addresses
return - passes control back to the chain from where the jump took place
same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client
src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters
address-list (name) - specifies the name of the address list to collect IP addresses from rules having action=add-dst-to-address-list or action=add-src-to-address-list actions. These address lists could be later used for packet matching
address-list-timeout (time; default: 00:00:00) - time interval after which the address will be removed from the address list specified by address-list parameter. Used in conjunction with add-dst-to-address-list or add-src-to-address-list actions
00:00:00 - leave the address in the address list forever
chain (dstnat | srcnat | name) - specifies the chain to put a particular rule into. As the different traffic is passed through different chains, always be careful in choosing the right chain for a new rule. If the input does not match the name of an already defined chain, a new chain will be created
dstnat - a rule placed in this chain is applied before routing. The rules that replace destination addresses of IP packets should be placed there
srcnat - a rule placed in this chain is applied after routing. The rules that replace the source addresses of IP packets should be placed there
comment (text) - a descriptive comment for the rule. A comment can be used to identify rules form scripts
connection-bytes (integer-integer) - matches packets only if a given amount of bytes has been transfered through the particular connection
0 - means infinity, exempli gratia: connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection
connection-limit (integer,netmask) - restrict connection limit per address or address block
connection-mark (name) - matches packets marked via mangle facility with particular connection mark
connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - matches packets from related connections based on information from their connection tracking helpers. A relevant connection helper must be enabled under /ip firewall service-port
content (text) - the text packets should contain in order to match the rule
dst-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is destined to. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
dst-address-list (name) - matches destination address of a packet against user-defined address list
dst-address-type (unicast | local | broadcast | multicast) - matches destination address type of the IP packet, one of the:
unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
local - matches addresses assigned to router's interfaces
broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
dst-limit (integer/time{0,1},integer,dst-address | dst-port | src-address{+},time{0,1}) - limits the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the limit match, every destination IP address / destination port has it's own limit. The options are as follows (in order of appearance):
Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
Time - specifies the time interval over which the packet rate is measured
Burst - number of packets to match in a burst
Mode - the classifier(-s) for packet rate limiting
Expire - specifies interval after which recorded IP addresses / ports will be deleted
dst-port (integer: 0..65535-integer: 0..65535{*}) - destination port number or range
hotspot (multiple choice: from-client | auth | local-dst) - matches packets received from clients against various Hot-Spot. All values can be negated
from-client - true, if a packet comes from HotSpot client
auth - true, if a packet comes from authenticted client
local-dst - true, if a packet has local destination IP address
icmp-options (integer:integer) - matches ICMP Type:Code fields
in-interface (name) - interface the packet has entered the router through
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header options
any - match packet with at least one of the ipv4 options
loose-source-routing - match packets with loose source routing option. This option is used to route the internet datagram based on information supplied by the source
no-record-route - match packets with no record route option. This option is used to route the internet datagram based on information supplied by the source
no-router-alert - match packets with no router alter option
no-source-routing - match packets with no source routing option
no-timestamp - match packets with no timestamp option
record-route - match packets with record route option
router-alert - match packets with router alter option
strict-source-routing - match packets with strict source routing option
timestamp - match packets with timestamp
jump-target (dstnat | srcnatname) - name of the target chain to jump to, if the action=jump is used
limit (integer/time{0,1},integer) - restricts packet match rate to a given limit. Usefull to reduce the amount of log messages
Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
Time - specifies the time interval over which the packet rate is measured
Burst - number of packets to match in a burst
log-prefix (text) - all messages written to logs will contain the prefix specified herein. Used in conjunction with action=log
nth (integer,integer: 0..15,integer{0,1}) - match a particular Nth packet received by the rule. One of 16 available counters can be used to count packets
Every - match every Every+1th packet. For example, if Every=1 then the rule matches every 2nd packet
Counter - specifies which counter to use. A counter increments each time the rule containing nth match matches
Packet - match on the given packet number. The value by obvious reasons must be between 0 and Every. If this option is used for a given counter, then there must be at least Every+1 rules with this option, covering all values between 0 and Every inclusively.
out-interface (name) - interface the packet is leaving the router through
packet-mark (text) - matches packets marked via mangle facility with particular packet mark
packet-size (integer: 0..65535-integer: 0..65535{0,1}) - matches packet of the specified size or size range in bytes
Min - specifies lower boundary of the size range or a standalone value
Max - specifies upper boundary of the size range
phys-in-interface (name) - matches the bridge port physical input device added to a bridge device. It is only useful if the packet has arrived through the bridge
phys-out-interface (name) - matches the bridge port physical output device added to a bridge device. It is only useful if the packet will leave the router through the bridge
protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) - matches particular IP protocol specified by protocol name or number. You should specify this setting if you want to specify ports
psd (integer,time,integer,integer) - attempts to detect TCP and UDP scans. It is advised to assign lower weight to ports with high numbers to reduce the frequency of false positives, such as from passive mode FTP transfers
WeightThreshold - total weight of the latest TCP/UDP packets with different destination ports coming from the same host to be treated as port scan sequence
DelayThreshold - delay for the packets with different destination ports coming from the same host to be treated as possible port scan subsequence
LowPortWeight - weight of the packets with privileged (<=1024) destination port
HighPortWeight - weight of the packet with non-priviliged destination port
random (integer) - match packets randomly with given propability
routing-mark (name) - matches packets marked by mangle facility with particular routing mark
same-not-by-dst (yes | no) - specifies whether to account or not to account for destination IP address when selecting a new source IP address for packets matched by rules with action=same
src-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is originated from. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
src-address-list (name) - matches source address of a packet against user-defined address list
src-address-type (unicast | local | broadcast | multicast) - matches source address type of the IP packet, one of the:
unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
local - matches addresses assigned to router's interfaces
broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
src-mac-address (MAC address) - source MAC address
src-port (integer: 0..65535-integer: 0..65535{*}) - source port number or range
tcp-mss (integer: 0..65535) - matches TCP MSS value of an IP packet
time (time-time,sat | fri | thu | wed | tue | mon | sun{+}) - allows to create filter based on the packets' arrival time and date or, for locally generated packets, departure time and date
to-addresses (IP address-IP address{0,1}; default: 0.0.0.0) - address or address range to replace original address of an IP packet with
to-ports (integer: 0..65535-integer: 0..65535{0,1}) - port or port range to replace original port of an IP packet with
tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match to the value of Type of Service (ToS) field of IP header
max-reliability - maximize reliability (ToS=4)
max-throughput - maximize throughput (ToS=8)
min-cost - minimize monetary cost (ToS=2)
min-delay - minimize delay (ToS=16)
normal - normal service (ToS=0)
Filter
Filter یک بخش از فایروال است.
فایروال چیست؟
فایروال در لغت به معنی دیواره آتش است اما در مفهوم مانند یک دیوار است که دور یک شهر کشیده شده و معابری مانند دروازه های شهر در آن وجود دارد که نگهبانانی در آنها وجود دارند که عبور و مرور را کنترل می نمایند.
در شبکه فایروال ها معمولا روی gateway نصب می شوند و تمامی عبور و مرور ها را کنترل می نمایند. که معمولا کار حفاظت اطلاعات داخلی را از هجوم های خارجی را بر عهده دارد.
فایروالها ممکن است استراتژی های مختلفی داشته باشند.که به نوع شبکه و نوع و level حفاظت بستگی دارد.
MikroTik دارای یکpacket filter قوی است که ویژگی های آن در زیر آورده شده است.
stateful packet filtering
peer-to-peer protocols filtering
traffic classification by:
source MAC address
IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
port or port range
IP protocols
protocol options (ICMP type and code fields, TCP flags, IP options and MSS)
interface the packet arrived from or left through
internal flow and connection marks
ToS (DSCP) byte
packet content
rate at which packets arrive and sequence numbers
packet size
packet arrival time
and much more!
قائده کلی Filtering
فایروال بر پایه رول های آن بنا شده است یعنی فایروال و روتر کاری را انجام می دهد که رول ها بگویند. هر رول از 2 قسمت تشکیل شده است قسمت اول مشخص می کند که کدام پکت با رول ما match میشود و قسمت دوم عملی که روی پکت باید انجام بگیرد را مشخص می کند.
رول ها بر اساس chain آنها برای مدیریت بهتر دسته بندی می شوند. هر رول 3 حالت به صورت پیش فرض میتواند داشته باشد. Input و forward و output که به معنی پکت هایی که به مقصد روتر می آیند و پکت هایی که از روتر رد می شوند و پکت هایی که از مبدا روتر خارج می شوند هستند. حالتهایی هم به صورت دستی می توان برای فایروال تعریف کرد.
Property Description
action (accept | add-dst-to-address-list | add-src-to-address-list | drop | jump | log | passthrough | reject | return | tarpit; default: accept) - action to undertake if the packet matches the rule
accept - accept the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it
add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter
add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter
drop - silently drop the packet (without sending the ICMP reject message)
jump - jump to the chain specified by the value of the jump-target parameter
log - each match with this action will add a message to the system log
passthrough - ignores this rule and goes on to the next one
reject - reject the packet and send an ICMP reject message
return - passes control back to the chain from where the jump took place
tarpit - captures and holds incoming TCP connections (replies with SYN/ACK to the inbound TCP SYN packet)
address-list (name) - specifies the name of the address list to collect IP addresses from rules having action=add-dst-to-address-list or action=add-src-to-address-list actions. These address lists could be later used for packet matching
address-list-timeout (time; default: 00:00:00) - time interval after which the address will be removed from the address list specified by address-list parameter. Used in conjunction with add-dst-to-address-list or add-src-to-address-list actions
00:00:00 - leave the address in the address list forever
chain (forward | input | output | name) - specifies the chain to put a particular rule into. As the different traffic is passed through different chains, always be careful in choosing the right chain for a new rule. If the input does not match the name of an already defined chain, a new chain will be created
comment (text) - a descriptive comment for the rule. A comment can be used to identify rules form scripts
connection-bytes (integer-integer) - matches packets only if a given amount of bytes has been transfered through the particular connection
0 - means infinity, exempli gratia: connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection
connection-limit (integer,netmask) - restrict connection limit per address or address block
connection-mark (name) - matches packets marked via mangle facility with particular connection mark
connection-state (estabilished | invalid | new | related) - interprets the connection tracking analysis data for a particular packet
estabilished - a packet which belongs to an existing connection, exempli gratia a reply packet or a packet which belongs to already replied connection
invalid - a packet which could not be identified for some reason. This includes out of memory condition and ICMP errors which do not correspond to any known connection. It is generally advised to drop these packets
new - a packet which begins a new TCP connection
related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection (the later requires enabled FTP connection tracking helper under /ip firewall service-port)
connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - matches packets from related connections based on information from their connection tracking helpers. A relevant connection helper must be enabled under /ip firewall service-port
content (text) - the text packets should contain in order to match the rule
dst-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is destined to. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
dst-address-list (name) - matches destination address of a packet against user-defined address list
dst-address-type (unicast | local | broadcast | multicast) - matches destination address type of the IP packet, one of the:
unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
local - matches addresses assigned to router's interfaces
broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
dst-limit (integer/time{0,1},integer,dst-address | dst-port | src-address{+},time{0,1}) - limits the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the limit match, every destination IP address / destination port has it's own limit. The options are as follows (in order of appearance):
Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
Time - specifies the time interval over which the packet rate is measured
Burst - number of packets to match in a burst
Mode - the classifier(-s) for packet rate limiting
Expire - specifies interval after which recorded IP addresses / ports will be deleted
dst-port (integer: 0..65535-integer: 0..65535{*}) - destination port number or range
hotspot (multiple choice: from-client | auth | local-dst | http) - matches packets received from clients against various Hot-Spot. All values can be negated
from-client - true, if a packet comes from HotSpot client
auth - true, if a packet comes from authenticted client
local-dst - true, if a packet has local destination IP address
hotspot - true, if it is a TCP packet from client and either the transparent proxy on port 80 is enabled or the client has a proxy address configured and this address is equal to the address:port pair of the IP packet
icmp-options (integer:integer) - matches ICMP Type:Code fields
in-interface (name) - interface the packet has entered the router through
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header options
any - match packet with at least one of the ipv4 options
loose-source-routing - match packets with loose source routing option. This option is used to route the internet datagram based on information supplied by the source
no-record-route - match packets with no record route option. This option is used to route the internet datagram based on information supplied by the source
no-router-alert - match packets with no router alter option
no-source-routing - match packets with no source routing option
no-timestamp - match packets with no timestamp option
record-route - match packets with record route option
router-alert - match packets with router alter option
strict-source-routing - match packets with strict source routing option
timestamp - match packets with timestamp
jump-target (forward | input | output | name) - name of the target chain to jump to, if the action=jump is used
limit (integer/time{0,1},integer) - restricts packet match rate to a given limit. Usefull to reduce the amount of log messages
Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
Time - specifies the time interval over which the packet rate is measured
Burst - number of packets to match in a burst
log-prefix (text) - all messages written to logs will contain the prefix specified herein. Used in conjunction with action=log
nth (integer,integer: 0..15,integer{0,1}) - match a particular Nth packet received by the rule. One of 16 available counters can be used to count packets
Every - match every Every+1th packet. For example, if Every=1 then the rule matches every 2nd packet
Counter - specifies which counter to use. A counter increments each time the rule containing nth match matches
Packet - match on the given packet number. The value by obvious reasons must be between 0 and Every. If this option is used for a given counter, then there must be at least Every+1 rules with this option, covering all values between 0 and Every inclusively.
out-interface (name) - interface the packet will leave the router through
p2p (all-p2p | bit-torrent | blubster | direct-connect | edonkey | fasttrack | gnutella | soulseek | warez | winmx) - matches packets from various peer-to-peer (P2P) protocols
packet-mark (text) - matches packets marked via mangle facility with particular packet mark
packet-size (integer: 0..65535-integer: 0..65535{0,1}) - matches packet of the specified size or size range in bytes
Min - specifies lower boundary of the size range or a standalone value
Max - specifies upper boundary of the size range
phys-in-interface (name) - matches the bridge port physical input device added to a bridge device. It is only useful if the packet has arrived through the bridge
phys-out-interface (name) - matches the bridge port physical output device added to a bridge device. It is only useful if the packet will leave the router through the bridge
protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) - matches particular IP protocol specified by protocol name or number. You should specify this setting if you want to specify ports
psd (integer,time,integer,integer) - attempts to detect TCP and UDP scans. It is advised to assign lower weight to ports with high numbers to reduce the frequency of false positives, such as from passive mode FTP transfers
WeightThreshold - total weight of the latest TCP/UDP packets with different destination ports coming from the same host to be treated as port scan sequence
DelayThreshold - delay for the packets with different destination ports coming from the same host to be treated as possible port scan subsequence
LowPortWeight - weight of the packets with privileged (<=1024) destination port
HighPortWeight - weight of the packet with non-priviliged destination port
random (integer: 1..99) - matches packets randomly with given propability
reject-with (icmp-admin-prohibited | icmp-echo-reply | icmp-host-prohibited | icmp-host-unreachable | icmp-net-prohibited | icmp-network-unreachable | icmp-port-unreachable | icmp-protocol-unreachable | tcp-reset | integer) - alters the reply packet of reject action
routing-mark (name) - matches packets marked by mangle facility with particular routing mark
src-address (IP address/netmask | IP address-IP address) - specifies the address range an IP packet is originated from. Note that console converts entered address/netmask value to a valid network address, i.e.:1.1.1.1/24 is converted to 1.1.1.0/24
src-address-list (name) - matches source address of a packet against user-defined address list
src-address-type (unicast | local | broadcast | multicast) - matches source address type of the IP packet, one of the:
unicast - IP addresses used for one point to another point transmission. There is only one sender and one receiver in this case
local - matches addresses assigned to router's interfaces
broadcast - the IP packet is sent from one point to all other points in the IP subnetwork
multicast - this type of IP addressing is responsible for transmission from one or more points to a set of other points
src-mac-address (MAC address) - source MAC address
src-port (integer: 0..65535-integer: 0..65535{*}) - source port number or range
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg) - tcp flags to match
ack - acknowledging data
cwr - congestion window reduced
ece - ECN-echo flag (explicit congestion notification)
fin - close connection
psh - push function
rst - drop connection
syn - new connection
urg - urgent data
tcp-mss (integer: 0..65535) - matches TCP MSS value of an IP packet
time (time-time,sat | fri | thu | wed | tue | mon | sun{+}) - allows to create filter based on the packets' arrival time and date or, for locally generated packets, departure time and date
tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match for the value of Type of Service (ToS) field of an IP header
max-reliability - maximize reliability (ToS=4)
max-throughput - maximize throughput (ToS=8)
min-cost - minimize monetary cost (ToS=2)
min-delay - minimize delay (ToS=16)
normal - normal service (ToS=0)
منبع:persianadmins
---------- Post added at 04:40 PM ---------- Previous post was at 04:38 PM ----------
میکروتیک - بخش دوم - نصب
نصب MikroTik
برای نصب MikroTik ابتدا باید minimum hardware requirment آن را بررسی کنیم که داخل سایت رسمی
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید نوشته شده است. اما به طور تجربی برای 1Mbps پهنای باند و سرویسهایی مثل NAT , Filtering , Bandwidth manager , DNS حد افل یک کامپیوتر pentium 2 به همراه 64MB فضای RAM و یک هارد دیسک 2.1GB یا کمتر و 2 عدد کارت شبکه کافی است.
برای نصب از روی CD باید ابتدا image آن را از لینکی که در آخر مقاله آمده دانلود کرده و بر روی CD به صورت image رایت کرده به صورتی که CD پس از write کردن bootable باشد.
CD را داخل cd-rom سیستمس که میخواهید MikroTik روی آن نصب کنید قرار دهید. و first boot device کامپیوتر خود را روی cd-rom قرار دهید. بعد از بوت شدن از روی CD یک صفحه باز خواهد شد که لیست service ها را نشان میدهد که می توان با spacebar آنها را انتخاب و یا از انتخاب خارح کرد. بعد از انتخاب package های مربوطه کلید "i" را فشار می دهیم. 2 عدد سوال از شما پرسیده می شود 1- سیستم به شما می گوید که با نصب MikroTik تمامی اطلاعات روی هارد دیسک شما پاک خواهد شد 2-از شما سوال می شود که اگر قبلا روی سیستم شما MikroTik نصب شده است آیا می خواهید تنظیمات قبلی نگهداری شوند؟ که اگر در دو حالت حرف "y" را وارد کرده و کلید ENTER را فشار دهیم سیستم شروع به نصب می کند.
بعد از کامل شدن نصب یک پیغام ظاهر می شود که نصب شما به پایان رسیده است و کلیدENTER را برای Reboot شدن سیستم خود فشار دهید.
سپس سیستم Reboot شده و روتر شما آماده استفاده است.
تنظیمات MikroTik
اختصاص IP address به کارت های شبکه:
ما یک LAN را در نظر می گیریم که از طریق MikroTik به یک روتر متصل و از همین طریق به اینترنت متصل است. فرض می کنیم که IP روتر ما 217.219.100.1 255.255.255.128 و IP شبکه داخلی ما 172.16.0.0 255.255.255.0 بنابر این IP کارت شبکه خارجی ما 217.219.100.2 255.255.255.128 و IP کارت شبکه داخلی ما 172.16.0.1 255.255.255.0 و default gateway ما 217.219.100.1 می شود.
برای انجام دادن تنظیمات روتر ابتدا باید به آن login کنیم. Username و password روتر به صورت پیش فرض admin با پسورد blank (خالی) است. یوزر و پسورد را وارد می کنیم و وارد میشویم.
ابتدا باید IP ها را set کنیم. برای اینکار command های زیر را وارد می کنیم:
[admin@MikroTik] ip address> add address=217.219.100.2/25 interface=ether0
[admin@MikroTik] ip address> add address=172.16.0.1/24 interface=ether1
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 217.219.100.2/25 217.219.100.0 217.219.100.127 ether0
1 172.16.0.1 172.16.0.0 172.16.0.255 ether1
[admin@MikroTik] ip address>
اکنون IP های ما add شده اند. برای اینکه یک default gateway برای روتر مشخص کنیم باید یک static route برای آن بنویسیم. برای این کار command های زیر را وارد می نمائیم:
[admin@MikroTik] ip route> add gateway=217.219.100.1
[admin@MikroTik] ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
1 ADC 217.219.100.0/25 ether0
2 ADC 172.16.0.0/24 ether1
3 A S 0.0.0.0/0 r 217.219.100.1 ether0
[admin@MikroTik] ip route>
اکنون روتر شما به اینترنت متصل است برای تست آن میتوانید یک IP داخل اینترنت را پینگ کنید به ترتیب زیر:
[admin@MikroTik] > ping 4.2.2.1
4.2.2.1 64 byte ping: ttl=237 time=256 ms
4.2.2.1 64 byte ping: ttl=237 time=413 ms
4.2.2.1 64 byte ping: ttl=237 time=311 ms
4.2.2.1 64 byte ping: ttl=237 time=283 ms
5 packets transmitted, 4 packets received, 20% packet loss
round-trip min/avg/max = 256/315.7/413 ms
[admin@MikroTik] >
تنظیم NAT در روتر:
در اینجا ما فقط می خواهیم آدرس های شبکه داخلی به یک آدرس خارجی و معتبر در اینترنت ترجمه شود. پس باید از srcnat استفاده کنیم. که هم می توان از masquerade استفاده کرد هم می توان از srcnat به همراه وارد کردن آدرس شبکه داخلی از طریق فیلد to-address استفاده کرد. ما اینجا هر دو روش را توضیح خواهیم داد.
Masquerade
در این حالت فقط کافی است اینترفیس خروجی را مشخص کنیم که به ترتیب زیر عمل می کنیم:
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether0
به این ترتیب کلیه IP هایی که در شبکه ما هستند از هر اینترفیسی که باشند اگر روتر را default gateway خود قرار دهند به اینترنت متصل می گردند.
Srcnat
در این حالت ما یک یا چند IP خاص را به یک IP ولید NAT می کنیم. در این حالت امنیت و کنترل بیشتری روی شبکه خود داریم.
/ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=src-nat \
to-addresses=217.219.100.2
در حالت فوق هر کامپیوتر با IP در رنج 172.16.0.0 255.255.255.0 و default gateway 172.16.0.1 می تواند از اینترنت استفاده کند. ما میتوانیم به جای یک رنج IP یک IP خاص یا یک رنج مخدود ت را انتخاب کنیم.
تنظیمات Filter
رول های Filter بسته به نیاز ما باید ساخته شوند . ما فعلا فرض میگیریم که می خواهیم ابتدا تنها به 3 کامپیوتر اجازه استفاده از اینترنت را بدهیم و برای همه پورت 135 را ببندیم و برای کلیه کامپیوتر ها ping بسته باشد و پورت telnet روتر برای همه بسته باشد. برای اعمال فوق الذکر به این ترتیب عمل می کنیم.
ما قصد بستن پورت 135 برای کلیه IP ها را داریم پس رول زیر را می نویسیم:
/ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop
به این ترتیب تمام درخواستها به این پورت drop می شوند.
حال باید رولی را ایجاد کنیم که ping بسته شود این رول نیز مانند رول قبل است:
/ip firewall filter add chain=forward protocol=icmp action=drop
و اما رول بعد بستن پورت telnet به روتر:
در این حالت باید chain را input قرار دهیم به معنی تمام پکت های ورودی به مقصد روتر.
/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop
اکنون ما می خواهیم تنها 3 کامپیوتر به اینترنت دسترسی داشته باشند پس باید هر پکتی که قصد عبور از روتر را دارد و از این 3 کامپیوتر خاص صادر شده است اجازه عبور داده شده و بقیه پکت ها که قصد عبور از روتر را دارند drop شوند. پس اول باید رول های دسترسی سپس رول عدم دسترسی بقیه نوشته شود. در filtering ترتیب رول ها بسیار مهم است چون روتر به ترتیب از بالا به پائین رول ها را خوانده و عمل می کند.
/ip firewall filter add chain=forward src-address=172.16.0.2 action=accept
/ip firewall filter add chain=forward src-address=172.16.0.3 action=accept
/ip firewall filter add chain=forward src-address=172.16.0.4 action=accept
/ip firewall filter add chain=forward src-address=172.16.0.0/16 action=drop
ما با رول های بالا دسترسی سه IP را باز و دسترسی کلیه پکت های دیگر را محدود کرده ایم.
اکنون تنظیمات ما به پایان رسیده است. ما یه روتر داریم که میان شبکه داخلی و خارجی ما قرار دارد روی روتر ما یک IP ولید به یک رنج IP اینولید NAT شده است. ما روی روتر به وسیله packet filtering از شبکه داخلی خود و روتر حفاظت می کنیم. و این امکان را داریم که دسترسی کلاینت های را به اینترنت کنترل کنیم.
لینک دانلود :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
---------- Post added at 04:45 PM ---------- Previous post was at 04:40 PM ----------
دیواره آتش میکروتیک - MikroTik Firewall
در این مقاله سعی شده است که اطلاعات کاربردی برای نصب و راه اندازی MikroTik Firewall بیان گردد:
حجم:389 کیلوبایت
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
منبع:persianadmins
---------- Post added at 04:48 PM ---------- Previous post was at 04:45 PM ----------
آموزش تصویری MikroTik DNS & Web Cache
WebCache یک روش مرسوم برای صرفه جویی در پهنای باند است.
در کل Cache را وقتی به کار می بریم که یه مخزن بر سر راه یک خط عبور دیتا داشته باشیم که این اطلاعات در یک قالب و قانون خاص در این مخزن ذخیره شوند و در صورت نیاز دوباره به اطلاعات فوق به جای درخواست از منبع اصلی راه را کوتاه تر کرده و از مخزن این اطلاعات سرو میشوند. که به دلیل کوتاه شدن راه می توانیم مقدار قابل ملاحظه ای در مصرف پهنای باند صرفه جویی کنیم. WebCache یک روش مرسوم برای صرفه جویی در پهنای باند است.
در کل Cache را وقتی به کار می بریم که یه مخزن بر سر راه یک خط عبور دیتا داشته باشیم که این اطلاعات در یک قالب و قانون خاص در این مخزن ذخیره شوند و در صورت نیاز دوباره به اطلاعات فوق به جای درخواست از منبع اصلی راه را کوتاه تر کرده و از مخزن این اطلاعات سرو میشوند. که به دلیل کوتاه شدن راه می توانیم مقدار قابل ملاحظه ای در مصرف پهنای باند صرفه جویی کنیم.
در رابطه با استفاده از اینترنت ما میتوانیم از 2 نوع cache مرسوم استفاده کنیم. به دلیل اینکه امروزه بیشتر استفاده اینترنت را Web به خود اختصاص می دهد و هر Web دارای یک آدرس است که اغلب میبایست از DNS Server ها برای یافتن آنها استفاده کنیم ما در شبکه های خود از DNS Cache و Web Cache استفاده مینمائیم.
به دلیل اینکه MikroTik اخیرا تبدیل به Gateway خیلی از ISP ها شده است بر آن شدیم تا آموزشی برای Cache Server بر روی این پلتفرم تهیه کنیم که امید است مورد استفاده بازدید کنندگان محترم قرار گیرد.
مشاهده آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
دانلود آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
---------- Post added at 04:52 PM ---------- Previous post was at 04:48 PM ----------
MikroTik EOIP Tunnel
پیشتر در آموزشهای PersianAdmins با تانل های زیادی از جمله IPIP, GRE, VTUN, OpenVPN, PPTP و ... آشنا شدیم. در این آموزش به معرفی یک تانل متفاوت به نام EOIP Tunnel میپردازیم.
در ابتدا مختصری در مورد تانل توضیح میدهم:
تانل همانطور که از اسم آن بر می آید یک ارتباط نقطه به نقطه بین 2 محل میان یک شبکه بزرگ برای ما ایجاد میکند. اما این ارتباط چه سودی برای ما دارد؟ مخصوصا وقتی که آن دو نقطه از طریق بستر فعلی خود با یکدیگر در ارتباطند.
در ابتدا تانل ها برای ایجاد امنیت بیشتر به وجود آمدند. بدین ترتیب که از یک پروتکل encryption استفاده می کردند و اطلاعات به صورت کد شده از شبکه نا امن میگذشت. یکی دیگر از کاربرد های تانل انتقال IP بود. به فرض مثال شما در آسیا حضور دارید و سایت abcdef.abc در کانادا. این سایت فقط به کاربران امریکایی سرویس دهی میکند که ملیت آنها را از روی IP آنها تشخیص میدهد. به همین دلیل شما نیاز به انتقال IP از کانادا به کشور خود را دارید.که یک تانل برقرار کرده و استفاده میکنید.
و اما چرا متفاوت؟
در تمامی تانل های قبلی شما از routing استفاده میکردید. یعنی برای ارتباط دو نقطه میبایست پکت ها را به آدرس طرف مقابل Route میکردید. اما فرض کنید شما یک دفتر مرکزی و چند شعبه در مکانهای جغرافیایی دیگر دارید. شما از Domain Controller استفاده میکنید و بنا به دلایلی نمیتوانید از سرویس sites and services دامین خود استفاده کنید یا مثلا میخواهید تمامی کلاینت ها در تمامی شعبه ها از DHCP مرکزی آدرس بگیرند یا به بیان ساده تر میخواهید بین 2 طرف تانل خود یک ارتباط لایه 2 داشته باشید به طوری که Broadcast های هر دو طرف به طرف دیگر انتفال یابد. همچین مواقعی که کاربرد آن نادر نیست به راحتی میتوانید از EOIP Tunnel استفاده کنید. این تانل توسط سیستم عامل قدرتمند MikroTik معرفی شده است.
با یک مثال به آموزش می پردازیم:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
با توجه به عکس فوق ما دو سایت مختلف داریم که از طریق بستر اینترنت به یکدیگر متصل شده اند. حال میخواهیم در شعبه که رنج آدرس آنها بین 192.168.20.11 تا 35 است به راحتی بتوان از پرینتر داخلی دفتر مرکزی که آدرس آن 192.168.20.67 است استفاده کنیم.
ابتدا یک تانل EOIP بین دو روتر میکروتیک دو مرکز ایجاد میکنیم:
[Shahin@PersianAdmins1] > interface eoip
[Shahin@PersianAdmins1] interface eoip> add name=tun remote-address=217.219.90.66
tunnel-id=1 mac-address=00 22 44:55
که tun نام اینترفیس که دلخواه است و tunnel-id شماره تانل ایجاد شده در روتر خود و mac-address نیز یک آدرس دلخواه است.
حال این اینترفیس ایجاد شده را با اینترفیس داخلی روتر خود bridge میکنیم.
با این کار تمامی broadcast های بین دو اینترفیس bridge شده به یکدیگر منتقل میشوند. که گویی در یک LAN قرار دارند.
[Shahin@PersianAdmins1] > interface bridge
[Shahin@PersianAdmins1] interface bridge> add name=brg
[Shahin@PersianAdmins1] interface bridge port> add interface=tun bridge=brg
[Shahin@PersianAdmins1] interface bridge port> add interface=Internal bridge=brg
ابتدا یک bridge interface به نام brg ایجاد کردیم و دو اینترفیس tun و Internal روتر را به آن نسبت دادیم.
هم اکنون میبایست به روتر دوم متصل شده و همین تنظیمات را نیز آنجا انجام دهیم:
[Shahin@PersianAdmins2] > interface eoip
[Shahin@PersianAdmins2] interface eoip> add name=tun remote-address=85.185.185.10
tunnel-id=1 mac-address=00 22 44:56
که tun نام اینترفیس که دلخواه است و tunnel-id شماره تانل ایجاد شده در روتر خود و mac-address نیز یک آدرس دلخواه است که باید با آدرس آن طرف متفاوت باشد.
و همانند روتر قبلی اینترفیس ایجاد شده را با اینترفیس داخلی روتر خود bridge میکنیم.
[Shahin@PersianAdmins2] > interface bridge
[Shahin@PersianAdmins2] interface bridge> add name=brg2
[Shahin@PersianAdmins2] interface bridge port> add interface=tun bridge=brg2
[Shahin@PersianAdmins2] interface bridge port> add interface=Internal bridge=brg2
هم اکنون هر دو شبکه یک ارتباط لایه 2 دارند. که میتوانند به راحتی همانند یک LAN با یکدیگر ارتباط داشته باشند.
منبع:persianadmins
مخفی کردن نمایش میکروتیک در Winbox یا میکروتیک های دیگر
به احتمال زیاد تا به حال با این مشکل روبرو شده اید که مشخصات میکروتیک های شما از طریقه نرم افزار Winbox برای همگان در شبکه خودتان قابل مشاهده است و این به نوعی ضعف امنیتی به شمار می آید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
برای حل این مشکل می بایست Neighbors Discovery را در میکروتیک غیر فعال کنید،برای این منظور در Winbox مطابق شکل به IP >> Neighbors بروید و در تب Discovery interfaces هر اینترفیس که نمی خواهید میکروتیک شما از آن طریق دیده شود را غیر فعال کنید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بدین ترتیب شما هم قادر به دیدن دستگاه های دیگران از تب Neighbors نخواهید بود.
از طریق کنسول یا CLI هم به ترتیب زیر قابل انجام است :
[ admin@Admins.irThis email address is being protected from spam bots, you need Javascript enabled to view it ] ip neighbor discovery> set ether1 discover=no
[ admin@Admins.irThis email address is being protected from spam bots, you need Javascript enabled to view it ] ip neighbor discovery> print
# NAME DISCOVER
0 ether1 no
1 ether2 yes
2 ether3 yes
3 ether4 yes
4 ether5 yes
گاهی اوقات نیاز است که ما دستگاه های همسابه ها را ببینیم ولی آنها نتوانند ما را ببینند ، برای این منظور می بایست Neighbors discovery فعال بوده و به جای آن در فایروال UDP پورت 5678 درزنجیره OUTPUT را DROP کنیم.
/ ip firewall filter
add chain=output protocol=udp dst-port=5678 action=drop comment="DROP Neighbors outgoing packet"
---------- Post added at 05:02 PM ---------- Previous post was at 04:58 PM ----------
پیدا کردن مشخصه های اصلی میکروتیک
بدست آوردن سریال دستگاه :
[reza@PersianAdmins] > system routerboard print
routerboard: yes
model: "750"
serial-number: "205201889D93"
current-firmware: "2.22"
upgrade-firmware: "2.22"
[reza@PersianAdmins] >
بدست آوردن سطح لایسنس دستگاه :
[reza@PersianAdmins] > system license print
software-id: "RZTS-YEF1"
upgradable-to: v5.x
nlevel: 4
features:
[reza@Mikrotik] >
بدست آوردن مشخصه های سخت افزاری :
[reza@PersianAdmins] > system resource print
uptime: 2d12h19m12s
version: "4.3"
free-memory: 17196kB
total-memory: 29944kB
cpu: "MIPS 24K V7.4"
cpu-count: 1
cpu-frequency: 400MHz
cpu-load: 8
free-hdd-space: 29296kB
total-hdd-space: 61440kB
write-sect-since-reboot: 85825
write-sect-total: 322192
bad-blocks: 0
architecture-name: "mipsbe"
board-name: "RB750"
[reza@PersianAdmins] >
ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک
در این آموزش سیستم عامل میکروتیک را در سه مرحله آسان ارتقا می دهیم :
برای نمونه در اینجا من سیستم عامل یک RB750 را از نسخه 4.3 به 4.5 ارتفا می دهم.
مرحله اول :
دانلود بسته Compined package از سایت میکروتیک :
برای این منظور به این آدرس رفته:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
و بسته به نوع روتربورد یا PC فایل مورد نظر را مطابق شکل دانلود کنید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مرحله دوم :
فایل combined package را بواسطه FTP یا Winbox به میکروتیک انتفال دهید.
در صورت استفاده از وین باکس به منوی Files رفته ، سپس فایل را در ویندوز خود انتخاب و به داخل پنجره Files بکشید.
مرحله سوم :
میکروتیک را Reboot کنید.
آموزش تصویری ارتقای سیستم عامل میکروتیک
مشاهده آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
[/COLOR]دانلود آموزش
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
[/COLOR]
نکته :
شیوه ارتقا سیستم عامل میکروتیک در سیستم های نصب شده بر روی PC یا روتربورد یکسان است.
نکته مهم :
بعد از بروزرسانی 72 ساعت وقت دارید تا لایسنس میکروتیک را آپدیت کنید،سعی کنید این کار را بلافاصله انجام دهید.
برای این منظور باید میکروتیک اینترنت داشته باشد،سپس از منوی System به License رفته و بر روی Update License Key کلیک کنید.
electrobaghery
22-09-2010, 18:23
من می خواهم برای یک شبکه کوچک که به صورت زیر اجرا می شود یک روتر rb750 میکروتیک بگیرم آیا می توانم شبکه را با این روتربه صورت زیر پیکربندی کنم ؟
پورت 1 = ورودی اینترنت از انتن پاوراستیشن
پورت 2 = سرور (از پورت 1 اینترنت می گیرد)
پورت 3 = کلاینت سرورپورت 2
پورت 4 = کلاینت سرور پورت 2
پورت 5 = به صورت کاملا مستقل از پورت 1 اینترنت می گیرد
آیا می توانم روی سرور پورت 2 نرم افزار مدیریت کافی نت نصب کنم و 2 کلاینت پورتهای 3 و 4 را کنترل کنم ؟
اگرامکان برقراری این شبکه به صورت فوق وجود دارد نحوه پیکربندی روتر به چه صورت است ؟
با سلام
من تو یه شبکه 35 یوزره از این روتر برای تقسیم اینترنت استفاده مردم ولی یه مشکلی دارو امیدوارم کسی باشه کمکم کنه
اولا برای یوزرها میخوام محدودیت حجم بذارم که نمیدونم برای 10 مگا چه عددی رو تو باکس لیمیت بنویسم و هر عددی هم که میذارم بعد تز قطع شدن به خاطر حجم دوباره با وصل شدن مجدد بازن تا همون حجم میتونن از اینترنت استفاده کنن اگه کسی میتونه کمکم کنه لطفا
royalfalcon180
18-06-2011, 12:42
با سلام من mikrotik رو دانلود کردم و میخوام با ی Virtual machin اون رو نصب کنم اما موقع نصب پیغام میده که no harddrive found کسی میدونه چرا؟؟
majnoonim
03-07-2011, 16:00
با سلام و خسته نباشید
من فایل آموزش را دانلود نمی توانم بکنم چون در رپید شیر هست امکانش هست فایل را در جایی بگذارید که راحت بشود دریافت نمود با تشکر
سلام عالی بود
فقط یه مشکل وقتی من از میکروتک استفاده میکنم و یه pptp میسازم و کانکت میشم سرعتم خیلی خیلی کم میشه
سرعت سرورم 6 مگ هست از هر لحاظ مشکلی نداره و یکی از دوستان که سرور مشابه من داره (با مشخصات یکسان و دیتاسنتر یکسان) وقتی از سرورش استفاده میکنم سرعت به هیچ عنوان کم نمیشه
میشه راهنمایی کنید ممکنه کجای کار ایراد داشته باشه ؟
سلام
دوستان آیا راهی وجود داره که کاربرهایی که از pptp من استفاده میکنن نتونن تو هیچ سایتی برن بجز سایتی که خودم مشخص میکنم ؟
amin10663
26-10-2011, 23:19
سلام ip ruter چیست چگونه بدست آوریم تا بتونیم در میکروتیک add کنیم interface چیست؟؟gate defult چیست وچگونه میتوان بدست آورد
johnkloud
31-10-2011, 13:31
دوست عزیزی که می خواستی میکروتیک رو روی VM نصب کنی من خودم از سایت miktrotik.online.ir فایل iso سیستم عامل رو گرفتم و روی virtual box نصب کردم بدون هیچ مشکلی شما هم تست کن اگه مشکلی بود بگو
amin10663
03-11-2011, 15:35
سلام
من حدوده 7 ماهه که در بدر آموزشه کانفیگ کردن سرور میکروتیک هستم تا الانم 5 بار هاردم فرمت شده تا به امروزم هرچی آموزش دانلود کردم همشون تکراری بوده /کسی نتونسته بیاد بهم بگه که من ip که باید تویه میکروتیکadd کنم رو از کجا بیارم netmasck چیه؟؟ از کجا پیدا کنم ؟؟؟من هر ip زدم نشد /باید کدوم ورژنرو آپدیت کنم تا کاملان کرک باشه(میکروتیک 4.17)(میکروتیک2.214)و غیره بلاخره کدومشون بهتره بعد از add کردن ip چیکار کنم؟؟؟ (print) (ping) (add gate) و ووووووو آخه من یه آدمه خنگ چرا من این چیزارو جای پیدا نکردم؟؟؟ توروخدا جواب بدید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
alexy_xman
04-11-2011, 11:34
باتشکر از دوستان به خاطر مطالب آموزنده mikro tik
یه سوال دیگه میشه آموزش ساخت شبکه داخلی به شکل v..........................ppppppp................ ........n توی سایت با عکس بزاربد که چند تا کامپیوتر در یک شرکت یا کافی نت از این طریق به هم متصل شند؟؟؟؟؟؟؟؟؟؟ ممنون می شم
omidyass
10-11-2011, 11:27
سلام
من به تازگی با میکروتیک آشنا شدم دنبال چند تا کتاب و رفرنسی هستم اگه کسی سراغ داره معرفی کنه ممنون می شم برای پروژه پایان نامه می خوام ممنون
paidar-net
30-11-2011, 07:35
salam
motasefane aksare linkha eroor zir mide:
Not Found
The requested URL /swf/mikvpn.tar.gz was not found on this server.
Apache/2.2.21 (CentOS) Server at
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید Port 80
baraye config mikrotik 5.6 rooye citrx ya har mikrotik crack digey ke beshe roosh ssl ok kard doostan agar amzoesh tempelets ya fil isoe darand mamnoon mishim ba baghye ham darmion bezarand :)
ta jay ke man gashtam va etela daram naboode nist
sepadl71
01-12-2011, 01:24
salam
motasefane aksare linkha eroor zir mide:
Not Found
The requested URL /swf/mikvpn.tar.gz was not found on this server.
Apache/2.2.21 (CentOS) Server at
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید Port 80
baraye config mikrotik 5.6 rooye citrx ya har mikrotik crack digey ke beshe roosh ssl ok kard doostan agar amzoesh tempelets ya fil isoe darand mamnoon mishim ba baghye ham darmion bezarand :)
ta jay ke man gashtam va etela daram naboode nist
سلام
برای دانلود ، از لینک کمکی زیر استفاده کنید :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
با تشکر
kardosoft
04-12-2011, 13:50
با سلام خدمت دوستان واساتید عزیز
من یه روتربرد 750gدارم پسوردش رو فراموش کردم ایا راهی وجود داره بدون اینکه کانفیگ قبلی مشکل پیدا کنه پسورد رو ریکاوری کرد یا پاک کرد ممنون می شم راهنمایی کنید با تشکر
rasoolasa
17-01-2012, 07:37
سلام من یرای اینک بخوام به سرور میکروتیک وین باکس وصل بشم باید یا یه روتر بخرم یا سرور مجازی کرایه کنم درسه یا نه یا راه دیگری هم هس
واگه بخواهم روتر بخرم چه نوع مدلی خوی برای -- اکانتهای ماهوارهای خوبه ممنون
tajalli007
13-02-2012, 09:20
سلام به تمامی دوستان
یک سوال مهم دارم ممنون میشم پاسخ بدید:
با نرم افزار Winbox میکروتیک چگونه میتونم برای کابران شبکه ام محدودیت حجم دانلود بزارم ؟
مثلا یک کاربر در روز یا ماه حجم محدودی بتونه دانلود بکنه .
چرا من نمیتونم به این لینک وارد بشم ؟؟!! :(
page not found mide
mohammad.es24
06-07-2012, 00:05
سلام به همه.یک کمک اساسی نیاز دارم.
من یک سرور دارم و 10 تا کلاینت که اینا به یک سوییچ وصل هستن و اینرنت رو دادم به سوییچ و همه وصل شدن به اینترنت.حالا من می خوام یک VPN Server راه اندازی کنم که بشه از بیرون به این شبکه ها وصل شد و یک شعبه دیگه رو به این شبکه وصل کنم.
سوال 1 :آیا من مینونم یک روتر میکروتیک بزارم کانال 1 رو اینترنت بدم و یکی دیگه از کانال هاشو وصل کنم به سوییچ که همه کلاینت ها به روتر وصل بشن؟
سوال 2 :آیا rb 750 جواب گوی کار من هست یا نه؟
دوستان چه مدل روتری رو پیشنهاد می کنن.
پیشاپیش از راهنماییتون ممنونم
mahdi-sam
22-07-2012, 23:14
با عرض سلام وخسته نباشد .. %
بنده یک عدد میکروتیک rb750 دارم که آیپی 192.168.0.2 است .
و یک سرور که رنج آیپی 192.168.0.1 و دومین یوزر است وکلاینت ها با این سری رنج کار می کنند 192.168.03/192.168.0.240 .
و یک عدد سرور فایل شرینگ که به آیپی 192.168.0.158 که زیر مجموعه سرور 192.168.0.1 است و یک کلاینت به حساب می یاد .
و یک عدد مودم اینترنت adcl دارم که در رنج 192.168.1.1 است ..
و یک عدد سویچ 24 پورت که کلاینت های بهش وصل هستن ..
در میان این تجهیزات یک سرور دیگه هم تو مجموعه داریم که آیپی 192.168.2.10 است و خودش دومین یوزر است و برا خودش کلاینت و زیر مجموعه داره ..
اقداماتی که من اینجا انجام دادم به شرح زیر است :
1- خروجی اینترنت رو از مودم به لاین 1 میکروتیک وصل کردم .
2- خروجی سرور خودمون رنج 192.168.0.1 رو به لاین 2 میکروتیک وصل کردم .
3-خروجی سرور فایل شرینگ رنج 192.168.0.158 رو به لاین 3 میکروتیک وصل کردم .
4- خروجی سرور دومی که رنج 192.168.2.10 است رو به لاین 4 میکروتیک وصل کردم . ( علت پیوست این رنج 192.168.2.10 این است که برنامه های تحت شبکه داریم )
5- خروجی میکروتیک رو به یک سویچ 24 پورت وصل کردم که کلاینت ها وصل است .
بعد این مراحل با winbox.exe به داخل میکروتیک وصل شدم که آیپی 192.168.0.2 است .. و تنظیمات اولیه
IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client
انجام دادم و در ppp یوزر هم ایجاد کردم و مشکلی ندارم که حدود 30 تا یوزر است و کلاینت ها می تونند با یوزر اختصاصی تعریف شده وصل بشن .
مشکلاتی که دارم رو به شرح زیر است...
اینترنت من 1024000 است 1 مگابایت که اومدم به 6 گروه profile ایجاد کردم و برا هر کدوم دانلود و آپلود اختصاص دادم و کلاینت ها وصل شدن فقط در این قسمت مشکل ما این است که وقتی برا یوزر که در profile و گروهی است سرعت اختصاصی دانلود و آپلود مشخص می کنم یوزر بعد کانکت چند دقیقه بعد از استفاده از اینترنت خودکار دیس کانکت میشه چی کار کنیم دیس نشه ؟؟؟
مشکل دومی این است وقتی که به صورت دستی آیپی می دیم بدون نیاز به کانکشن ppp اینترنت میشه دریافت کرد به این صورت ..
IP address :192.168.0.3
Default Gateway: 192.168.0.2
DNS :192.168.0.2
این آیپی 192.168.0.2 همون آیپی میکروتیک است که اینترنت میده بدون محدویت و بدون یوزر و پسورد که میکروتیک رو دور میزنه !!
چیکار کنیم این رویداد انجام نشه و یوزر ها تنها با ppp بتونند به اینترنت وصل بشن و کانکشن بزنند ؟؟؟
و یک سوال دیگه این است چطوری می تونیم از طریق filter rules کاری کنیم که رنج آیپی های دیگه نتونند ما رو پینگ کنند و یا دسترسی پیدا کنند ولی با این تفاوت که ما بتونیم پینگ کنیم و ببینیم و دسترسی داشته باشیم ..
مثلا رنج 192.168.2.10 سرور دومی نتونه وارد رنج 192.168.0.1 و 192.168.0.2 بشه و پینگ کنه .. ولی ما برعکس این قضیه بتونیم به رنج های مختلف دسترسی داشته باشیم مثل 192.168.2.10
ممنون میشم از دوستان ما رو بی جواب نزارن در صورت امکان کمک کنید با آموزش تصویری یا به صورت کتبی ...
omidyass
13-09-2012, 16:21
آموزش جامع میکروتیک در قالب فایل pdf
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]دانلود ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
SNOW PATROL
28-02-2013, 23:00
با سلام خدمت همه تمام لينك هاي دانلود خرابن جون هركي دوست دارين يه بار ديگه اين فايلهارو اپلود كنيد
درود دوست عزیز شما چه اموزشی میخوای ؟
tapatalk
mhmodroz
17-03-2013, 23:45
آموزش جامع میکروتیک در قالب فایل pdf
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]دانلود ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
ایساتیس سرور خدمات دهنده نوین سرور مجازی با هر سیستم عاملی که شما اراده نمایید آماده ارائه خدمات به شما میباشد
سرور مجازی ایساتبس سرور
isatisserver
سلام
میشه لطف کنید و لینک رو درست کنید
Eh3an123
11-06-2013, 04:19
با لام من این سرور رو نصب کردم کانفیگم کردم اما تا چیز پی ان وصل میشه نپبنگ قطع مبشه باید چیکار کنم تمام تنظیمات طبق اموزش رفتم جلو..
ی سوال دیگه میشه از این چیز پی ان ب عنوان پیلتر شکن استفاده کرد؟
برای -- چی؟
ممنون میشم جواب سوالامو بدید ممنونم
david-ebi
30-11-2014, 13:51
سلام.ارزانترین روشی که میشود دو منزل که هر کدام اینترنت adsl دارند و مودمهای وایرلس و بامهایشان دید مستقیم چشمی به هم دارند و 50 متر با هم فاصله دارند را به صورت وایرلس به هم متصل کرد تا بتوانند از اینترنت adsl همدیگر استفاده کنند چه روشی میباشد؟
Mohammad King
01-12-2014, 12:57
در انجمن زیر تاپیک ایجاد کنید بهتر راهنمایی میشید سوالتون هم واضح بپرسید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ضمن اینکه دوست عزیز: ahriman_black ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) فارسی تایپ کنید و در تاپیک ها راهنمایی کنید نه شماره خودتون رو قرار بدین.
vBulletin , Copyright ©2000-2025, Jelsoft Enterprises Ltd.