ٰٹؾ ٭هٞ - ٥ڃتٸط٧ڃٲ ڀزطبضا٦ ٕجطٲdl.20learn.ir/mikrotik/mik(3).pdf ·...

فصل سوممرجع کاربردی میکروتیک

شامل :

جزوه آموزشی

فیلم آموزشی

سومفصل -مرجع کاربردی میکروتیک

www.bazyar.ir


ای دو جهان از قلمت یک رقم بی رقمت لوح دو عالم عدم

ره هب نهان خاهن تحقیق ده رد کف من مشعل توفیق هن

شام من از صبح سخن روز ساز شمع زبانم سخن افروز ساز


آنچه در این فصل می خوانید :

فایروال چیست

.......................................................... ......................................................................................................................5

NATانواع

.......................................................... .....................................................................................................................5

Source NAT .......................................................... ..............................................................................6تنظیم

11............................ .........در مسیریاب ............................. source nat، بررسی تنظیمات 1البراتوار

11................. در محیط دستوری و گرافیکی ............................ source nat، پیاده سازی 2البراتوار

Destination NAT .............................................................................................. .............................11تنظیم

21.............. در محیط دستوری و گرافیکی ................... destination nat، پیاده سازی 3البراتوار


Firewall :

شبکه را به یکدیگر متصل دو زمانی کهکه در کاربرد نیز همین مفهوم را دارد. می باشدفایروال در لغت به معنی دیواره آتش

در مقابلیک شبکه از اکثر فایروالهای امروزی برای حفاظت کهکنیم احتیاج به حفاظت از هر یک نسبت به دیگری داریم می

شبکه آنها استفاده کنندفایروال دستگاه سخت افزارییک از که اگرکنند می تصورشوند. بعضی افراد اینترنت استفاده می

روی Rule چندتنظیم نیاز به تنظیم دقیق دارند. در واقع با نیز،اما چنین نیست. حتی بهترین فایروالها ، ایمن خواهد ماند

.زیادی شبکه خود را ایمن ساختتوان درصد هم می مسیریابیک

Filteringو NATاز قابلیت های فایروال میکروتیک ایجاد میکروتیک را می توان به عنوان یک فایروال قوی استفاده کرد.

.است

بهتر داشته باشیم NATقبل از اینکه نگاهی عمیق به مقوله در میکروتیک را بررسی می کنیم . NATدر این مبحث قابلیت

را بررسی کنیم. آنعملکرد ستا

Network Address Translation

Nat مخفف ،Network Address Translation یک بسته اطالعاتی است و این می باشد که فرایند تغییر در هدر های

را ایجاد می کنند . natتغییرات انواع مختلفی از

: Natانواع

:وجود دارد NATروش برای اجرای به صورت کلی دو

1) Src Nat = Source Nat

( . شود می Nat تغییر می کند ) مبدا IP آدرس در این روش


2) Dst Nat = Destination Nat

( . شود می Nat تغییر می کند ) مقصد IP آدرس در این روش

شرح است : به این NATهای روش تمامقاعده کلی برای

اینترنتی با آدرس مبداآدرس جایگزینیعملیات هربسته ای که روی کارت شبکه محلی مسیریاب دریافت می شود

(Source NATارسال می شود. )به مقصد بسته سپسانجام می شود مسیریاب

که آدرس مسیریاب آدرس مقصد .پاسخ این بسته از سمت سیستم گیرنده به مسیریاب فرستاده می شود ، بعد از آن

اینترنتی مسیریاب است را به آدرس محلی سیستم فرستنده تغییر می دهد و در نهایت مسیریاب بسته را به سیستم

(Destination NAT) اصلی تحویل می دهد.

در مسیریاب : source-natتنظیم

[admin@mikrotik] > ip firewall nat add chain=[srcnat/dstnat] out-interface=etherX

src-address=[source ip address] dst-address=[destination ip address]

action=[masquerade/src-nat] to-addresses=[ip-range]

به این شرحند : Source Natپارامتر های مورد استفاده در

1 ) Chain :

مقادیر مورد بنابراین استفاده می کنیم. CHAINاز پارامتر NATدر دستورات میکروتیک برای مشخص کردن نوع

باشد. dstnat و srcnatاستفاده در این قسمت می تواند

2 )out-interface :

در این پارامتر اسم کارت شبکه مسیریاب که می خواهیم بسته ها از آن خارج بشوند را مشخص می کنیم .

3 )src-address :

از این پارامتر برای تعیین محدوده شبکه مبدا استفاده می شود .با استفاده از مثال های زیر حالت های مختلف این

پارامتر را مورد بررسی قرار می دهیم .


ی اعمال عملیات براnat بر روی یک سیستم خاص ، دستور به این صورت نوشته می شود . در دستور زیر مشخص

می شوند. routeها ipبشود و بقیه NATمی تواند در مسیریاب 10.10.10.1کرده ایم که فقط کالینت با آدرس

[admin@mikrotik] > ip firewall nat add chain=srcnat action=masquerade

out-interface=public Src-address=10.10.10.1

برای اعمال عملیاتnat بر روی یک شبکه ، دستور به این صورت نوشته می شود . در دستور زیر مشخص کرده ایم که

شوند . NATبتوانند 10.10.10.0تمام کالینت های موجود در شبکه


out-interface= public Src-address=10.10.10.0/24

برای اعمال عملیاتnat بر روی تعدادی از سیستم های یک شبکه ، دستور به این صورت نوشته می شود . در دستور

NAT( بتوانند IP=10.10.10.128 تا IP=10.10.10.1 بکه ) از زیر مشخص کرده ایم که فقط نیمی از ش

بشوند. NAT نمی توانند IP=10.10.10.254)تا IP=10.10.10.129 بشوند و نیمه دوم شبکه ) از


out-interface= public Src-address=10.10.10.0/25

نکته : چنانچه بخواهیم تمام کالینت های موجود در شبکه مبدا بتوانند بسته های خود را به سمت مسیریاب

را استفاده نمی کنیم . src-addressارسال کنند در این دستورات پارامتر

4 )dst-address :

بر روی سیستم هایی که مقصد آنها سیستم مشخصی استفاده می شود . natاعمال عملیات یپارامتر برا یناز ا

شوند. NATاست ، 162.16.1.10به طور مثال در دستور زیر مشخص کرده ایم که فقط بسته هایی که مقصد آنها


out-interface= public dst-address=162.16.1.10

natنکته : چنانچه بخواهیم تمام بسته هایی که از مسیریاب خارج می شوند بدون توجه به مقصد ، آنها را

را ذکر نمی کنیم . بنابراین تمام بسته ها از مسیریاب عبور می کنند.dst-address کنیم پارامتر


5 )Action :

عملیاتی که بر روی بسته ها انجام می شود توسط این پارامتر تعیین می شود . مقادیر مورد استفاده در این پارامتر می

را بررسی می کنیم . پارامترباشد. در ادامه این دو Src-Nat و Masqueradeتواند

Action=masquerade :

در بسته ارسالی از سمت کالینت می شود . در Source-IP مسیریاب جایگزین فیلد masquerade ،ipدر روش

ipبه سمت شبکه خارجی توسط خود مسیریاب برقرار می شود. چرا که آدرس ((session، ارتباط این حالت

کالینت شده است. Ipجایگزین آدرس Source-IPمسیریاب در فیلد

ftp shell,sshمثل: Persistenceو سرویس های voipمثل: Interactiveدر ارتباطات masqueradeکاربرد

تا زمانی که مسیریاب در شبکه موجود باشد کنند. یکار نم یریابها پشت مس یسسرو ینچون ا می باشد. ,…

(unplug و یاshutdown ) نشده باشدsession .برقرار است و می توان از منابع شبکه مقصد استفاده کرد

Action=src-nat :

در Source-ip فیلد ذکر خواهد شد( جایگزین to-addressesخاص )که در پارامتر IPدر این روش یک یا چند

بسته ارسالی می شود. بنابراین امنیت و کنترل بیشتری روی شبکه محلی خود خواهیم داشت.

( از Sessionاشد.ارتباط ) و..( می بWebنیستند )مثل : Persistanceبیشتر در سرویس هایی که src-natکاربرد

سمت کالینت برقرار می شود.کالینت به عنوان سیستمی مستقل از مسیریاب در نظر گرفته می شود.

6) to-address :

ها صورت ipبرای هر سیستم با استفاده از یکی از این natدر نظر گرفته می شود و عملیات ipدر این پارامتر تعدادی

تعریف می شود . poolingبه کالینت ها IPرای انتساب آدرس می گیرد . در حقیقت ب

فرستاده می شود ، یک Nat Routerکه به سمت Request به این صورت می باشد که به هر Poolingمنطق

IP انتساب داده می شود ، زمانی که تمامIP ، ها مورد استفاده قرار گرفتRequest بعدی نمی تواند ارتباط برقرار

های قبلی ارتباط را قطع کنند. Requestوارد می شود. تا زمانی که یکی از Waitingکند و به حالت


را در مثال های زیر بررسی می کنیم : Poolingحالت های مختلف

را مشخص کرد. در دستور زیر IPیک بر روی بسته ها تنها natمی توان برای اعمال To- addresses( در پارامتر 1

NAT، 162.16.1.20 هایی که می خواهند از مسیریاب عبور کنند به آدرس مشخص کرده ایم تمام سیستم

بشوند.

[admin@mikrotik] > ip firewall nat add chain=srcnat out-interface= public

action=src-nat to-addresses=162.16.1.20

ها را مشخص IPبر روی بسته ها یک محدوده کامل از natمی توان برای اعمال To- addresses( در پارامتر 2

کرد.


action=src-nat to-addresses=162.16.1.0/24

ها را IPبر روی بسته ها تنها یک محدوده مشخص از natمی توان برای اعمال To- addresses( در پارامتر 3

( 162.16.1.50تا 162.16.1.10را مشخص کرده ایم.) از Ipعدد آدرس 04تعیین کرد. در دستور زیر


action=src-nat to-addresses=162.16.1.10-162.16.1.50


: 1البراتوار

در مسیریاب می باشد . source natاین البراتوار بررسی تنظیمات انجام هدف از

به باشد ، 10.10.10.1آن ipکه آدرس PC-1در این البراتوار مسیریاب را به گونه ای پیکربندی می کنیم که تنها

NAT،162.16.1.100 آن به IPسرور موجود در شبکه مقصد امکان ارتباط داشته باشد . در حالتی که آدرس

بشود.

تنظیمات در مسیریاب میکروتیک به این صورت خواهد بود:

[admin@mikrotik] > ip firewall nat add chain=srcnat src-address=10.10.10.1

dst-address=162.16.1.20 to-addresses=162.16.1.100 out-interface= public action=src-nat

به سرور مورد نظر دسترسی پیدا کرده است . pc-1 با استفاده از این دستورات سیستم

برای برقراری ارتباط بقیه سیستم های موجود در شبکه محلی با سرور مورد نظر ، در صورتی که به آدرس

:بشوند دستور به این صورت نوشته می شود (NAT) ترجمه 162.16.1.50

[admin@mikrotik] > ip firewall nat add chain=srcnat dst-address=162.16.1.2

to-addresses=162.16.1.50 out-interface= public action=src-nat

را مشخص نکرده ایم و به این ترتیب تمام سیستم ها source-addressهمان طور که مشخص است در این دستور

در نظر گرفته می شوند .

مسیریاب bufferبر روی کالینت انجام نشد باید natنکته : چنان چه بعد از اعمال دستور، عملیات

refresh شود . برای انجام این کار کارت شبکه ای از مسیریاب که به شبکه داخلی متصل است ، یکبار

disable و سپس enable .می کنیم

[admin@mikrotik] > interface local disable [admin@mikrotik] > interface local enable



در محیط دستوری به همراه توضیحات در نرم افزار Source natهدف از انجام این البراتوار پیاده سازی عملیات

winbox .می باشد

اینترنت وجود کنیم که امکان دسترسی شبکه های محلی بهمی در این سناریو مسیریاب ها را به گونه ای پیکربندی

داشته باشد.

برای پیاده سازی این سناریو :

. چهار مسیریاب میکروتیک به عنوان مسیریاب های موجود در نظر گرفته

سه سیستمWindows 7 .به عنوان کالینت های موجود در هر شبکه ، راه اندازی می کنیم

یک سیستمwindows server ده سازی می کنیم .به عنوان سرور موجود در اینترنت پیا

به این صورت می باشد : Lan 1تنظیمات کالینت در

IP = 10.10.10.1

Subnet Mask = 255.255.255.0

Default Gateway = 10.10.10.10


تنظیمات مسیریاب اول در مراحل زیر انجام می شود :

های شبکه مسیریاب : به کارت Ip( انتساب 1

[admin@mikrotik] > Ip Address Add Address=10.10.10.10/24 Interface=ether1


: winboxنرم افزار از طریق های شبکه مسیریاب به کارت Ipانتساب

را IPابتدا به مسیریاب اول وصل میی شیویم و از منیوی اصیلی گزینیه WinBoxبرای پیاده سازی عملیات از طریق

بیر روی عالمیت Address Listرا انتخیاب میی کنییم و در پنجیره Addressانتخاب کرده ، از زیرمنوی باز شیده

ADD کلیک کرده وIp سیستم را به این صورت وارد می کنیم : کارت های شبکه مربوط به

های شبکه مسیریاب : ( تغییر نام کارت2

[admin@mikrotik] > interface ethernet set name = local ether1

[admin@mikrotik] > interface ethernet set name = public ether2

: winboxنرم افزار از طریق های شبکه مسیریاب تغییر نام کارت

بیر روی Interface listرا انتخاب میی کنییم ، در پنجیره interfacesاز منوی اصلی گزینه WinBoxدر نرم افزار

interfaceهای موجود را مشاهده خواهید کرد برای تغییر نام هیر interface کلیک کرده تمام Interfaceسربرگ

، نیامی را کیه میی خواهیید بیه Nameدر قسمت <interface <ether1بر روی آن دو بار کلیک کرده . در پنجره

. کارت شبکه ها انتساب داده شود ، وارد می کنیم

تغییر نام می دهیم. Publicرا به ether2و Localرا به ether1برای این مثال :


برای بسته هایی که به سمت مسیریاب اول می آیند : nat( اعمال عملیات 3

[admin@mikrotik] > ip firewall nat add chain=srcnat out-Interface= public

action=Masquerade

:winboxاز طریق نرم افزار برای بسته هایی که به سمت مسیریاب اول می آیند natاعمال عملیات

در را انتخیاب میی کنییم firewallو از زیر منوی بیاز شیده گزینیه ipاز منوی اصلی گزینه WinBoxدر نرم افزار

کلییک Natبرای اضافه کردن پارامتر ها ی مختلیف در ADD، بر روی عالمت NAT، در سربرگ firewallپنجره

را مقداردهی میی out-interface و chainپارامترهای New Nat Ruleاز پنجره generalدر سربرگ می کنیم.

. کنیم

،عملیاتی که بر روی بسته ها اعمال می شود را انتخاب می کنیم . Actionدر سربرگ

. است action=masqueradeدر این مثال


مطابق موارد گفته شده می باشد . بنابراین از تکرار آنها WinBoxمراحل عملیاتی برای هر سه مسیریاب در نرم افزار

خودداری کرده و انجام آن را به عهده خواننده می گذاریم .

( تست ارتباط: 4

را وارد می کنیم : Ping 192.168.1.10دستور Pc1از cmdبا مسیریاب اول ، در پنجره Pcبرای تست ارتباط

در نتیجه این تست مشخص شده است که ارتباط با مسیریاب برقرار است :

Reply from 192.168.1.10: bytes=32 time<1ms TTL=64

: Lan 2تنظیمات کالینت در

IP = 20.20.20.1

Subnet Mask = 255.255.255.0


تنظیمات مسیریاب دوم در مراحل زیر انجام می شود :

به کارتهای شبکه مسیریاب : Ip( انتساب 1

[admin@mikrotik] > ip address add address=20.20.20.20/24 interface=ether1


( تغییر نام کارتهای شبکه مسیریاب:2



برای بسته هایی که به سمت مسیریاب دوم می آیند : nat( اعمال عملیات 3


action=Masquerade


را وارد می کنیم : Ping 192.168.1.20دستور از کالینت cmdبا مسیریاب دوم ، در پنجره برای تست ارتباط کالینت

در نتیجه این تست مشخص شده است که ارتباط با مسیریاب برقرار است :



: Lan 3تنظیمات کالینت در

IP = 30.30.30.1

Subnet Mask = 255.255.255.0


تنظیمات مسیریاب سوم در مراحل زیر انجام می شود :

به کارتهای شبکه مسیریاب : Ip( انتساب 1



( تغییر نام کارتهای شبکه مسیریاب:2



برای بسته هایی که به سمت مسیریاب سوم می آیند : nat( اعمال عملیات 3


action=Masquerade


را وارد می کنیم. Ping 192.168.1.30دستور با مسیریاب سوم ، در کالینت برای تست ارتباط کالینت

بر برقراری ارتباط با مسیریاب نشان داده می شود :در نتیجه این تست پیغام زیر مبنی


تنظیمات مسیریاب چهارم در مراحل زیر انجام می شود :

های شبکه مسیریاب : به کارت Ip( انتساب 1



( تغییر نام کارتهای شبکه در مسیریاب :2




کردن بسته هایی که از طرف مسیریاب اول به سمت مسیریاب نهایی می آیند : nat ( دستور جهت 3


action=src-nat to-addresses=162.16.1.10 src-address=192.168.1.10

dst-address=162.16.1.100

: winboxاز طریق نرم افزار تنظیمات مسیریاب چهارم

در پنجره را انتخاب می کنیم firewallو از زیر منوی باز شده گزینه ipاز منوی اصلی گزینه WinBoxدر نرم افزار

firewall در سربرگ ،NAT بر روی عالمت ،ADD .در برای اضافه کردن پارامتر های مورد نظر کلیک می کنیم

out-interfaceو dst-address وsrc-address و chainپارامترهای New Nat Ruleاز پنجره generalسربرگ

را مقداردهی می کنیم .

در ایین مثیال کیه .،عملییاتی کیه قیرار اسیت بیر روی بسیته هیا اعمیال شیود را انتخیاب میی کنییم Actionدر سربرگ

action=src-nat و پارامتر استto-addresses . را مقداردهی می کنیم


در نرم افزار به سمت مسیریاب نهایی می آیند دوم و سومکردن بسته هایی که از طرف مسیریاب nat مراحل عملیات

WinBox مطابق موارد گفته شده می باشد . بنابراین از تکرار آنها خودداری کرده و انجام آن را به عهده خواننده می

گذاریم و تنها به پیاده سازی در محیط دستوری بسنده می کنیم .

نهایی می آیند :کردن بسته هایی که از طرف مسیریاب دوم به سمت مسیریاب nat ( دستور جهت 4




سوم به سمت مسیریاب نهایی می آیند : کردن بسته هایی که از طرف مسیریاب nat ( دستور جهت 5




( تست ارتباط :6

را با استفاده از icmpها یک بسته lanبا وب سرور، در هر کدام از کالینت های موجود در کالینت برای تست ارتباط

به وب سرور ارسال می کنیم در نتیجه این تست نشان داده شده است که ارتباط با وب Ping 162.16.1.100دستور

سرور برقرار می باشد :



در مسیریاب : Destination Natتنظیم

ipمربوط به مسیریاب باشد ، آدرس ipدر بسته های اطالعاتی شامل آدرس destination - ipدر این روش در صورتی که فیلد

به طور مثال اینترنت ، به یک Publicمربوط به مسیریاب در این بسته ها تغییر می کند . به عبارتی چنانچه بخواهیم از یک شبکه

استفاده می شود . natدسترسی داشته باشیم از این روش Lanبه طور مثال شبکه Privateشبکه

( (Invalid IPنامعتبر ip( مسیر یاب در بسته های اطالعاتی را به آدرس Valid IPمعتبر ) ipدر این عملیات آدرس

،Nat دهیم( کنیم . )تغییر می می

برای اینکه این سرور از طریق اینترنت قابل دسترس باشد .وجود دارد web serverبه طور مثال در شبکه داخلی یک

نامعتبر به میکروتیک ipمعتبر بر روی سرور وجود داشته باشد. چنانچه سرور با یک آدرس ipنیاز است که یک آدرس

نابراین باید در مسیریاب میکروتیک مشخص شود که هر بسته ای که به متصل باشد عمالً در اینترنت دیده نمی شود ب

موجود در شبکه داخلی هدایت شود . Web serverمسیریاب فرستاده می شود ، به سمت

به این صورت مطرح می شود : dst-natعملیات

ت مسیریاب فرستاده میشود.از سمت کالینت در یک شبکه خارجی به سم web serverبسته درخواست برای استفاده از

برای آن to-addressای که در پارامتر ipبا آدرس destination ipزمانی که بسته در مسیر یاب دریافت شود فیلد

درصورتی که موجود در شبکه محلی می رسد web serverمشخص شده جایگزین می شود و به این ترتیب بسته به

است. invalidآن سرور ip آدرس

در مسیریاب : Destination-natتنظیم

[admin@mikrotik] > ip firewall nat add chain=<dstnat> action=dst-nat

dst-address=<destinationst.Address> To-address=<ip for NAT> protocol=<tcp|udp>

dst-port=<Router.destination.Port> to-port=<destination.Port>


: شرحندبه این Destination Natپارامترهای مورد استفاده در

1) Chain :

انتخاب شود. dstnatرا مشخص می کنیم.که در این حالت باید natدر این پارامتر نوع

2) Action:

می افتد را مشخص می کنیم.در این پارامتر عملیاتی که بر روی بسته های دریافت شده در مسیر یاب اتفاق

3 )Dst – address :

خواهیم در صورت رسیدن بسته درخواست به آن ، بسته همان کارت شبکه ای از مسیریاب ، که می ipدر این پارامتر

کنیم. داخلی شبکه تغییر مسیر دهد را مشخص می به سمت وب سرور

4 )to-addresses :

.در این پارامتر مقصد بسته را مشخص می کنیم

5:Dst-port , to-port , Protocol (

شوند از این پارامتر Natچنان چه بخواهیم مشخص کنیم که بسته هایی که به سمت کدام پورت مسیر یاب میرسند ،

.ها استفاده می کنیم

Dst-port :

دریافت می کند.پورتی در مسیریاب )میکروتیک ( که بسته ها رو

To-port :

بسته ها به سمت آن هدایت می شوند. dst-natپورتی در سیستم مقصد که با استفاده از فرایند

Protocol :

بودن پروتوکل را مشخص می کنیم. Udpو یا Tcpدر این پارامتر

را در دستورات نیاوریم ، به عبارتی تمام dst-port , to-port , Protocol: چنان چه پارامتر های 1 نکته

. را در نظر گرفته ایم. و محدودیتی برای نوع پورت اعمال نکرده ایم Full Port)) پورت ها


را به این صورت به کار dst-port: اگر بخواهیم پورت ها را به صورت ترکیبی مشخص کنیم ، پارامتر 2 نکته

کنیم. و برای نشان دادن محدوده ای از پورت ها تفکیک می '، ' المت کاما پورت های تکی را با ع میبریم :

کنیم. آنها را مشخص می " -"با عالمت

به طور مثال :

[admin@mikrotik] > ip firewall nat add chain=dstnat action=dst-nat

dst-address=162.16.1.1/32 To-address=10.10.10.4 protocol=tcp to-port=23,22,1-5

از سیستم 5تا 1و از 22، 23در این مثال مشخص کرده ایم که هر بسته ای به مسیریاب برسد به سمت پورت های

ارسال شود. 10.10.10.4



در محیط دستوری به همراه توضیحات در نرم Destination natهدف از انجام این البراتوار پیاده سازی عملیات

می باشد. winboxافزار

وجود دارد که تعدادی سرور در این قسمت قرار دارد. مسیریاب را به گونه ای تنظیم dmzدر این البراتوار یک منطقه

تغییر جهت داده شود و همچنین dmzمی کنیم که بسته هایی که از سمت اینترنت به مسیریاب می رسد به سمت

.دسترسی داشته باشند dmzنیز بتوانند به سرورهای موجود در lanهای موجود در شبکه کالینت

دارد چرا که هم از اینترنت و همچنین از lanمنطقه ای است که امنیت پایین تری نسبت به DMZنکته : منطقه

lan .باید به آن دسترسی وجود داشته باشد

برای پیاده سازی این سناریو :

یک سیستمWindows 7 به عنوان کالینتی درlan اجرا کرده

یک سیستمWindows 7 ینتی در اینترنت راه اندازی می کنیمکال به عنوان

کارت شبکه راه اندازی می کنیم . 3میکروتیک را با یک مسیریاب


: یریابدر مس یماتتنظ

به کارت های شبکه مسیریاب : Ipانتساب




: winboxاز طریق نرم افزار به کارت های شبکه مسیریاب Ipانتساب

و از زیر منوی ipاز منوی اصلی گزینه WinBoxهای شبکه مسیریاب در نرم افزار به کارت Ipبرای انتساب

برای اضافه کردن ADDبر روی عالمت Address listدر پنجره را انتخاب می کنیم Addressesبازشده گزینه

IPس برای هر کارت شبکه یک آدر new addressesبرای هر کارت شبکه کلیک می کنیم.در پنجره IPآدرس

کلیک می کنیم. Okوارد می کنیم و در نهایت بر روی

کردن بسته هایی که از طرف اینترنت به سمت مسیریاب می آیند : nat اعمال عملیات

[admin@mikrotik] > Ip Firewall Nat Add Chain=dstnat Action=dst-nat

Dst-address=162.16.1.1/32 to-address=192.168.1.100

از طریق نرم افزار کردن بسته هایی که از طرف اینترنت به سمت مسیریاب می آیند nat اعمال عملیات

winbox :

را انتخاب کرده .در پنجره firewallو از زیر منوی باز شده ipاز منوی اصلی گزینه winboxدر نرم افزار

firewall به سربرگNAT رفته و عالمتADD را برای اضافه کردن یکrule کلیک می کنیم .در پنجرهNew

NAT Rule مقدارchain راdstnat و مقدارDst.Address انتخاب می کنیم . 162.16.1.1را


وارد 192.168.1.100را To Addressesو مقدار dst-natرا Actionرفته و مقدار Actionسپس به سربرگ

می کنیم .

. آیندبه سمت مسیریاب می Lanبسته هایی که از طرفکردن nat اعمال عملیات

[admin@mikrotik] > Ip Firewall Nat Add Chain=srcnat Out-Interface= ether2

Src-address=10.10.10.100 Dst-address=192.168.1.100 Action=masquerade

از طریق نرم افزار به سمت مسیریاب می آیند Lanکردن بسته هایی که از طرف nat اعمال عملیات

winbox:

را انتخاب کرده . در پنجره firewallو از زیر منوی باز شده ipاز منوی اصلی گزینه winboxدر نرم افزار

firewall به سربرگNAT رفته و عالمتADD را برای اضافه کردن یکrule کلیک می کنیم .در پنجرهNew

NAT Rule مقدارchain راsrcnat وارد کرده و در قسمتSrc.Address و در 10.10.10.100آدرس

را وارد می ether2کارت شبکه Out.Interfaceو در قسمت 192.168.1.100آدرس Dst.Addressقسمت

کنیم .


را وارد می کنیم . masqueradeرفته و عبارت Actionسپس به سربرگ

: Lanدر یماتتنظ

آن را به این صورت تنظیم می کنیم : Ipدر نظر می گیریم و lanبه عنوان سیستمی در Pcیک

IP = 10.10.10.100

Subnet Mask = 255.255.255.0


: Internetتنظیمات در

را به عنوان یک سیستم در اینترنت در نظر می گیریم، تنظیمات کارت شبکه آن را به این صورت انجام می Pcیک

دهیم:

IP = 162.16.1.100

Subnet Mask = 255.255.255.0


: تست ارتباط

را وارد می Ping 192.168.1.100، در کالینت دستور DMZبا وب سرور موجود در lanبرای تست ارتباط

کنیم .

شود : ینشان داده م یریابارتباط با مس یبر برقرار یمبن یرز یغامتست پ ینا یجهدر نت


را وارد Ping 192.168.1.100، در کالینت دستور DMZو برای تست ارتباط از اینترنت به وب سرورموجود در

.می کنیم

شود : ینشان داده م یریابارتباط با مس یبر برقرار یمبن یرز یغامتست پ ینا یجهدر نت


ٰٹؾ ٭هٞ - ٥ڃتٸط٧ڃٲ ڀزطبضا٦ ٕجطٲdl.20learn.ir/mikrotik/mik(3).pdf ·...

Documents

Transcript of ٰٹؾ ٭هٞ - ٥ڃتٸط٧ڃٲ ڀزطبضا٦ ٕجطٲdl.20learn.ir/mikrotik/mik(3).pdf ·...