במיקרוטיק, ה רשימות גישה הם משמשים בעיקר בהקשר של רשתות אלחוטיות כדי לשלוט בגישה לרשת על סמך כתובת ה-MAC של המכשירים, לא על סמך יציאות TCP או UDP.
כדי לסנן תעבורה לפי יציאות TCP או UDP ספציפיות, עליך להשתמש ב- חוקי חומת האש של MikroTik, במיוחד, ה כללי סינון חומת אש.
כללי חומת אש ב-RouterOS מאפשרים גמישות ודיוק רב בהגדרת התעבורה לאפשר, לדחות או לבטל, בהתבסס על מגוון רחב של קריטריונים, כולל מספרי יציאות TCP או UDP.
כיצד לסנן יציאות TCP/UDP באמצעות כללי סינון של חומת אש:
- גישה ל-RouterOS: השתמש ב-WinBox או במסוף CLI כדי לגשת למכשיר ה-MikroTik שלך.
- נווט אל כללי חומת האש: ב-WinBox, עבור אל
IP
->Firewall
ובחר את הכרטיסייהFilter Rules
. ב-CLI, הפקודה תהיה/ip firewall filter
. - הוסף כלל חדש: לחץ על השלט
+
כדי להוסיף כלל חדש אם אתה ב-WinBox, או השתמש בפקודהadd
ב-CLI. הגדר את הכלל על ידי ציון:- שַׁרשֶׁרֶת: בדרך כלל,
input
לסנן תנועה נכנסת לנתב,forward
לתנועה דרך הנתב, אוoutput
לתעבורה יוצאת מהנתב. - פרוטוקול: בחר
tcp
oudp
בהתאם לסוג התנועה שברצונך לסנן. - Dst. נמל: ציין את מספר יציאת היעד עבור תעבורת TCP או UDP שברצונך לסנן. אתה יכול גם לציין טווחי יציאות.
- פעולה: בחר מה ברצונך לעשות עם תנועה שתואמת את הכלל הזה (לדוגמה,
drop
לזרוק את זה,accept
לאפשר זאת).
- שַׁרשֶׁרֶת: בדרך כלל,
- החל ואמת את הכלל: הקפד להחיל את השינויים ובמידת האפשר וודא שהכלל פועל כפי שאתה מצפה.
דוגמה לפקודת CLI לסינון יציאת TCP 80:
קוד sqlCopy/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=drop
פקודה זו יוצרת כלל שמפיל את כל תעבורת הרשת המופנית דרך הנתב ליציאת TCP 80.
שיקולים:
- עדיפות כללים: כללי חומת האש מעובדים בסדר עוקב. הקפד לארגן את הכללים שלך כך שחוקים ספציפיים יותר יבואו לפני כלליים יותר כדי למנוע קונפליקטים או התנהגות לא רצויה.
- בדיקה וניטור: לאחר הגדרת כללי חומת אש חדשים, חשוב לנטר את התעבורה והיומנים כדי להבטיח שהסינון פועל כמצופה ואינו חוסם תעבורה לגיטימית או מאפשר תעבורה לא רצויה.
שימוש בכללי חומת האש של MikroTik היא דרך יעילה לשלוט בגישה לרשת שלך ולהגן על המשאבים הפנימיים שלך מפני תעבורה לא רצויה או שעלולה להיות מסוכנת.
אין תגיות לפוסט הזה.