در این مبحث جزئیات گزینه های قابلیت Filter-NAT در میکروتیک را بررسی می کنیم. قبل از اینکه نگاهی عمیق به مقوله NAT داشته باشیم بهتر است عملکرد آن را بررسی کنیم.
توضیحاتی اضافی در مورد NAT:
Nat ،مخفف Network Address Translation می باشد که فرایند تغییر در هدر های یک بسته اطلاعاتی است و این تغییرات انواع مختلفی از nat را ایجاد می کنند.NAT در واقع از ساختار شرطی If…then… استفاده میکند. از رول اول شروع میشه به پردازش این عمل و وقتی با هر کدام از رول ها match شد از این پروسه میره بیرون در غیر این صورت تا رول اخر هم پیش میره .
انواع Nat :
به صورت کلی دو روش برای اجرای NAT وجود دارد :
در این روش آدرس IP مبدا تغییر می کند- Nat می شود -
- Dst Nat = Destination Nat
در این روش آدرس IP مقصد تغییر می کند- Nat می شود -
قاعده کلی برای تمام روش های NAT به این شرح است:
هربسته ای که روی کارت شبکه محلی مسیریاب دریافت می شود عملیات جایگزینی آدرس مبدا با آدرس اینترنتی مسیریاب انجام می شود سپس بسته به مقصد ارسال می شود( .Source NAT) بعد از آن ، پاسخ این بسته از سمت سیستم گیرنده به مسیریاب فرستاده می شود . مسیریاب آدرس مقصد که آدرس اینترنتی مسیریاب است را به آدرس محلی سیستم فرستنده تغییر می دهد و در نهایت مسیریاب بسته را به سیستم
اصلی تحویل می دهد. (Destination NAT)
تنظیم source-nat در مسیریاب:
[admin@mikrotik] >ip firewall nat add chain=[srcnat/dstnat] out-interface=etherX
src-address=[source ip address] dst-address=[destination ip address] action=[masquerade/src-nat] to-addresses=[ip-range]
:به این شرحند Source Nat پارامتر های مورد استفاده در
Chain-1
در دستورات میکروتیک برای مشخص کردن نوع NAT از پارامتر CHAIN استفاده می کنیم. بنابراین مقادیر مورد استفاده در این قسمت می تواند srcnat وdstnat باشد.
out-interface-2
در این پارامتر اسم کارت شبکه مسیریاب که می خواهیم بسته ها از آن خارج بشوند را مشخص می کنیم .
src-address -3
از این پارامتر برای تعیین محدوده شبکه مبدا استفاده می شود. با استفاده از مثال های زیر حالت های مختلف این پارامتر را مورد بررسی قرار می دهیم.
مثال:
- اتصال کل کلاینت های شبکه به اینترنت از بستر معمولی: برای اعمال عملیات nat بر روی یک شبکه ، دستور به این صورت نوشته می شود . در دستور زیر مشخص کرده ایم که تمام کلاینت های موجود در شبکه 192.168.100.0 بتوانند NAT شوند. (با دستور زیر کلاینت های با شناسه 192.168.100.1 تا 192.168.100.254 به ip عمومی دلخواهی در اینترنت نت می شود کاربردی وقتی که برای مودم اینترنت IP ولیدی و خاصی ثبت نشده باشد و کل کلاینت های شبکه مربوط به اینترنت بطور مستمر اتصال داشته باشد)
[admin@mikrotik] > ip firewall nat add chain=srcnat protocol=tcp Src-address=192.168.100.0/24 action=masquerade
- اتصال تنها نیمی از کلاینت های شبکه به اینترنت از بستر معمولی:برای اعمال عملیات nat بر روی تعدادی از سیستم های یک شبکه ، دستور به این صورت نوشته می شود . در دستور زیر مشخص کرده ایم که فقط نیمی از شبکه از IP=192.168.100.1 تا IP=192.168.100.128 بتوانند NAT بشوند ونیمه دوم شبکه NAT از IP=192.168.100.129 تا IP=192.168.100.254 نتوانند NAT شوند (برای آشنایی با بحث Subnetting به این لینک مراجعه شود)
[admin@mikrotik]>ip firewall nat add chain=srcnat protocol=tcp Src-address=192.168.100.0/25 action=masquerade
یا با مشخص کردن رنج ip ها
[admin@mikrotik]>ip firewall nat add chain=srcnat protocol=tcp Src-address=192.168.100.1-192.168.100.128 action=masquerade
- اتصال مستمر کلاینتی به اینترنت از بستر اینترنت با Ip Valid :برای اعمال عملیات nat بر روی تعدادی از سیستم های یک شبکه ، دستور به این صورت نوشته می شود (با دستور زیر کلاینت 1192.168.100.1 به ip ثابت 1.1.1.1 در اینترنت نت می شود کاربردی وقتی که برای مودم اینترنت IP ولیدی و خاصی خریداری و ثبت شده باشد و فقط کلاینت مربوط به اینترنت بطور مستمر اتصال داشته باشد) وبطور مشابه برای شبکه و یا قسمی از شبکه
[admin@mikrotik]>ip firewall nat add chain=srcnat protocol=tcp Src-address=192.168.100.1 action=src-nat to-address=1.1.1.1
- اتصال کلاینت ها به برخی سایت های اینترنتی از بستر اینترنت با Ip Valid :برای اعمال عملیات nat بر روی سیستم های یک شبکه ،که به برخی سایت هایی که قبلا Ip آنها در لیستی با برچسب Direct مشخص شده اند، دستور به این صورت نوشته می شود
[admin@mikrotik]>ip firewall nat add chain=srcnat protocol=tcp src-address=192.168.100.0/24 dst-address-list=Direct action=src-nat to-addresses=1.1.1.1
اگر از Src-address-list استفاده شود می توان یکسری از سیستم های شبکه را در لیستی قرار داد و بجای ذکر src-address=192.168.100.0/24 تنها دسترسی به اینترنت را به لیست محدود کرد
نکته : چنانچه بخواهیم تمام کلاینت های موجود در شبکه مبدا بتوانند بسته های خود را به سمت مسیریاب ارسال کنند در این دستورات پارامتر Src-address=192.168.100.0/24 را استفاده نمی کنیم. در مثال های فوق ممکن است مثلا چند شبکه با آدرس های مختلف داشته باشبم که عنوان شده فقط برای ورودی های از 192.168.100.0 ها و در ضمن اگر بخواهیم محل خروجی داده ها که همان محل ارتباط روتر با مودم باشد را دقیقا مشخص کنیم (مثلا چند مسیر خروج وجود داشته باشد) پورت خروجی با مثلا out-interface=Eth2 مشخص می گردد.
نکته :
- علامت ! که در winbox کنار محل های src-address و بقیه می تونا گذاشت بفمهوم موارد غیر از موردی است که ذکر می شود مثلا:
[admin@mikrotik]> chain=srcnat protocol=tcp src-address=192.168.100.0/24 dst-address-list=!Direct action=src-nat to-addresses=1.1.1.1
یعنی شبکه برای تمام خروجی ها (dst-address ها) بغیر از آنهایی که بعنوان لیست با برچسب Direct گروه بندی شده اند به 1.1.1.1 نت شوند
- عبارت Content در تب دوم یعنی در صورت وجود و یا عدم وجود ! نت صورت گیرد در مثال زیر کلاینت های شبکه در اینترنت که آدرس سایت ها شامل کلمه salam باشد به 1.1.1.1 نت می شوند (فقط سایت های شامل salam در آدرس باز شوند)- کاربرد در فیلتر کردن
chain=srcnat protocol=tcp src-address=192.168.100.0/24 content=salam action=src-nat to-addresses=1.1.1.1
dst-address -4
از این پارامتر برای اعمال عملیات nat بر روی سیستم هایی که مقصد آنها سیستم مشخصی استفاده می شود. بیشتر برای ارتباط از بیرون شبکه به داخل شبکه کاربرد دارد مثلا برای ریموت به سیستم خاصی از بیرون شبکه از بستر اینترنت و یا تغییر پورت های نرمال دسترسی وب و ریموت ها وFtp و...
مثال:
- اتصال به لوکال هاست داخلی از بیرون شبکه از بستر اینترنت با IP Valid: با روش زیر هر کس در بروزر اینترنت درج کند http://1.1.1.1:8282 به نشانی داخلی سایت داخلی http://192.168.100.2 بر پورت 80 منتقل می شود
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=8282 action=dst-nat to-addresses=192.168.100.2 to-ports=80
- ریموت زدن با نرم افزار VNC به سیستمی از پورت عادی VNC از بیرون شبکه از بستر اینترنت با IP Valid: می دانیم پورت VNC شماره 5900 است لذا کافیست مدل زیر انجام دهیم:
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=5900 action=dst-nat to-addresses=192.168.100.2 to-ports=5900
درصورتی که بخواهیم از بیرون شبکه با اینترنت به چند سیستم ریموت VNC بزنیم چون پورت 5900 ازبیرون فقط برای یکی قابل دسترسی است لذا پورت اتصال بیرون را عوض می کنیم بیاد داشته باشید که پورت اصلی VNC شماره 5900 است که در حالت عادی قابل تغییر نیست مخصوصا برای اکثر برنامه ها لذا روی پورت بیرونی باید مانور داد:
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=5910 action=dst-nat to-addresses=192.168.100.10 to-ports=5900
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=5920 action=dst-nat to-addresses=192.168.100.20 to-ports=5900
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=5920 action=dst-nat to-addresses=192.168.100.30 to-ports=5900
لذا با اجرای برنامه VNC در قسمت IP اگر بنویسیم 1.1.1.1:5910 به 192.168.100.10 وصل می شویم و بهمین ترتیب تا آخر
و یا مثلا اگر همزمان چند سیستم از ارسال ftp استفاده میکنند .
مثال: تغییر پورت52 به 22 موقع استفاده از بیرون:
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-port=52 action=redirect to port=22
شرح سناریو: در ساختمان اول دو سیستم همزمان می خواهند از ftp اطلاعات به سیستم هایی در ساختمان 2 بفرستند که دارای IP valid به شماره 1.1.1.1 می باشند (سیستم A1 به سیستم A2 و سیستم B1 به B2) چون پورت Ftp شماره 21 است لذا در ساختمان یک در روتر ارسال Ftp برای سیستم یک را از پورت 21 به پورت 2110 و برای سیستم دو از پورت 21 به پورت 2120 نت می کنیم
A1:192.168.100.10 / B1:192.168.100.20 / Ip valid Location2: 1.1.1.1 / A2:192.168.1.10 / B2:192.168.1.20
[admin@mikrotik] >ip firewall nat add chain=srcnat protocol=tcp dst-address=192.168.100.10 src-port=21 action=src-nat to-addresses=1.1.1.1 to-ports=2110
[admin@mikrotik] >ip firewall nat add chain=srcnat protocol=tcp dst-address=192.168.100.20src-port=21 action=src-nat to-addresses=1.1.1.1 to-ports=2120
شرح : در قسمت ساختمان دریافت کننده گیرنده با پورت 2110 را به پورت 21 برای سیستم پیرنده مرتبط با سیستم اول ساختمان یک قرار می دهیم و ....
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=2110 action=dst-nat to-addresses=192.168.1.10 to-ports=21
[admin@mikrotik] >ip firewall nat add chain=dstnat protocol=tcp dst-address=1.1.1.1 dst-port=2120 action=dst-nat to-addresses=192.168.1.20 to-ports=21
نکته : چنانچه بخواهیم تمام بسته هایی که از مسیریاب خارج می شوند بدون توجه به مقصد ، آنها را nat کنیم پارامتر dst-address را ذکر نمی کنیم . بنابراین تمام بسته ها از مسیریاب عبور می کنند.
Action -5
عملیاتی که بر روی بسته ها انجام می شود توسط این پارامتر تعیین می شود . مقادیر مورد استفاده در این پارامتر می تواند Masquerade و Src-Nat باشد .در ادامه این دو پارامتر را بررسی می کنیم.
در روش ip ، masquerade مسیریاب جایگزین فیلدSource-IP در بسته ارسالی از سمت کلاینت می شود . در این حالت، ارتباط (session) به سمت شبکه خارجی توسط خود مسیریاب برقرار می شود .چرا که آدرس ip مسیریاب در فیلد Source-IP جایگزین آدرس Ip کلاینت شده است.
کاربرد masquerade در ارتباطات Interactive مثل: voip و سرویس های Persistence مثل: ftp shell,ssh ,… می باشد. چون این سرویس ها پشت مسیریاب کار نمی کنند. تا زمانی که مسیریاب در شبکه موجود باشد (unplug و یا shutdown نشده باشد) session برقرار است و می توان از منابع شبکه مقصد استفاده کرد.
در این روش یک یا چند IP خاص( که در پارامتر to-addresses ذکر خواهد شد) جایگزین فیلدSource-ip در بسته ارسالی می شود .بنابراین امنیت و کنترل بیشتری روی شبکه محلی خود خواهیم داشت.
کاربرد src-nat بیشتر در سرویس هایی که Persistance نیستند( مثل: Webو..) می باشد.ارتباط ( Session) از سمت کلاینت برقرار می شود.کلاینت به عنوان سیستمی مستقل از مسیریاب در نظر گرفته می شود.
به توضیحات مطالب قبلی توجه شود
to-address -6
در این پارامتر تعدادی ip در نظر گرفته می شود و عملیات nat برای هر سیستم با استفاده از یکی از این ip ها صورت می گیرد . در حقیقت برای انتساب آدرس IP به کلاینت ها pooling تعریف می شود.
منطق Pooling به این صورت می باشد که به هر Request که به سمت Nat Router فرستاده می شود ، یک IP انتساب داده می شود ، زمانی که تمام IP ها مورد استفاده قرار گرفت ، Request بعدی نمی تواند ارتباط برقرار کند و به حالت Waiting وارد می شود .تا زمانی که یکی از Request های قبلی ارتباط را قطع کنند.
حالت های مختلف Pooling را در مثال های زیر بررسی می کنیم:
1-در پارامتر To- addresses می توان برای اعمال nat بر روی بسته ها تنها یک IP را مشخص کرد. در دستور زیر مشخص کرده ایم تمام سیستم هایی که می خواهند از مسیریاب عبور کنند به آدرس 162.16.1.20 ، NAT بشوند.
[admin@mikrotik] > ip firewall nat add chain=srcnat out-interface= public action=src-nat to-addresses=162.16.1.20
2- در پارامتر To- addresses می توان برای اعمال nat بر روی بسته ها یک محدوده کامل از IP را مشخص کرد
[admin@mikrotik] > ip firewall nat add chain=srcnat out-interface= public action=src-nat to-addresses=162.16.1.0/24
3- در پارامتر To- addresses می توان برای اعمال nat بر روی بسته ها تنها یک محدوده مشخص از IP ها را تعیین کرد .در دستور زیر 4 عدد آدرس Ip را مشخص کرده ایم (از 162.16.1.10 تا 162.16.1.50)
[admin@mikrotik] >ip firewall nat add chain=srcnat out-interface= public action=src-nat to-addresses=162.16.1.10-162.16.1.50
دیگرموارد:
In interface / out interface
یکی از گزینه هایی که در هنگام تعریف فیلتر رول جدید باهاش سرو کار دارید مربوط به اینترفیس ورودی و خروجی است .
شما میتونید با کمک این دو قسمت بررسی پکت ها رو به پورت خاصی محدود کنید . بر می گردیم به همون مثال قبل . من میخوام کاربران خارجی من نتونند به روتر من پینگ داشته باشند . با کمک آدرس مبدا / مقصد می توان انجام داد .
عدم پینگ روتر از طریق اینترنت با IP valid: 1.1.1.1
روش برای بستن پروتکل پینگ بطور کامل: chain=input protocol=icmp action=drop
روش برای بستن پروتکل از مسیر اینترنت با آی پی ولید بطور کامل:: chain=input protocol=icmp action=drop dst-address=1.1.1.1
روش برای بستن پروتکل پینگ از داخل شبکه بطور کامل: chain=input protocol=icmp action=drop dst-address=192.168.100.0/24
یک روش دیگه انجام این مورد با کمک اینترفیس های ورودی و خروجی است . فرض می کنیم اینترفیس eth 1 ما متصل به لینک wan باشد . یعنی دسترسی کاربران خارجی به روتر بورد تنها از این طریق ممکن است . پس شما می توانید رول مربوطه را محدود کنید به اینترفیس شماره ۱ . با این روش دیگر نیازی به استفاده از آدرس مبدا / مقصد نیست .
روش برای بستن پروتکل پینگ از داخل شبکه ازظریق پورت متصل به شبکه بطور کامل
chain=input protocol=icmp in-interface=ETH2-->LAN action=drop
روش برای بستن پروتکل پینگ از مسیر ورودی اینترنت از پورت PPPOE متصل به مودم Adsl شبکه بطور کامل
chain=input protocol=icmp in-interface=pppoe-client action=drop
اگر از این دو قسمت استفاده کنید ، می بینید که صرفا به پورت های فیزیکی اشاره نمی کند . و تمام پورت های مجازی مثل تانل ها و … را نیز شامل می شود . یعنی حتی با کمک این قسمت شما میتوانید رولی را صرفا برای یک کاربر pppoe یا … بنویسید .
انواع کانکشن ها در میکروتیک
هر ارتباط بین دو سیستم در شبکه توسط یک کانکشن یونیک بین سرور و کلاینت انجام می پذیرد . بعبارتی کانکشن ها راهی برای تشخیص یوزر ها و برنامه های متفاوتی هستند که از منابع شبکه ای شما استفاده می کنند . برای دیدن کانکشن های موجود در ویندوز میتوانید از فرمان netstat استفاده کنید . این فرمان تمام ارتباطات شبکه ای که در سیستم شما توسط برنامه های مختلف ایجاد شده را برایتان نمایش می دهد . – خودتان بعنوان تمرین تست کنید – در میکروتیک نیز این امکان توسط منوی connections از پنجره firewall فراهم میشود . تمام ارتباطات کاربران شما با ذکر منبع – مقصد – نوع پروتکل و … در این قسمت برای شما نمایش داده میشود . تشخیص دلیل وجود هر کدام از این کانکشن ها برای شما بعنوان مدیر شبکه مهم است ! و ناگفته پیداست که کار چندان ساده ای هم نیست ! – برای جستجو : چرا کانکشن های tcp به طور قابل ملاحضه ای از کانکشن های udp بیشتر هستند ؟ من در سیستمم چندین کانکشن gre دارم مربوط به چیست ؟ – اما بیشتر هدف از این بخش صحبت در مورد connection state هست . یا حالت های مختلف یک کانکشن . در فایروال میکروتیک چهار حالت برای یک کانکشن در نظر گرفته شده است . established – invalid – new – related
New : همانطور که از نامش پیداست ، به کانکشن های در حال ایجاد گفته میشود . یعنی یوزر از روتر بورد یا سرویس دهنده درخواست سرویس می کند .
established : به کانکشنی گفته میشود که به درخواستش پاسخ مثبت دادند – مبارکه ! – و در حالت رد و بدل کردن اطلاعات هستند .
related : یا کانکشن مرتیط . بعضی از پروتکل ها ابتدا روی یک پورت درخواست خود را ارسال و در نهایت روی پورت دیگری اطلاعات را دریافت می کنند ! معمولا اینگونه موارد مربوط به سرویس هایی است که نیازمند تایید هویت و .. هستند . مثلا سرویس دهنده ایمیل شما ابتدا شما را روی https شناسایی می کند و در نهایت با http اطلاعات را در اختیارتان قرار می دهد . به کانکشن دوم یک کانکشن مرتبط اطلاق میشود . – چند مثال از این نوع کانکشن پیدا کنید –
Invalid : کانکشن های نامعتبر . – چه حالتی باعث میشود میکروتیک یک کانکشن را نا معتبر تشخیص دهد ؟ -
شما می توانید با چین های تعریف شده توسط کاربر مقدار زیادی از بار روتر رو کم کنید .
توضیحات مختصر در مورد گزینه های مختلف Action:
اعمال قوانین و دستورات -اکشن ها – روی پکت های انتخاب شده .
ما تا اینجا با دو مورد از اکشنها آشنا شدیم . accept – drop . که اکسپت به معنای پذیرش بسته و اجازه عبور دادن به آن و دراپ به معنای رد کردن و حذف پکت .
تعداد اکشن ها در قسمت فیلتر ۹ مورد است که با الباقی موارد در ادامه آشنا خواهیم شد :
Accept
قبول کردن بسته ، بسته در قانون های بعدی بررسی نمی شود.
reject
این اکشن مانند دراپ بسته رو حذف می کنه اما یه تفاوت با اکشن دراپ داره و اون این که ریجکت در پاسخ فرستنده یک پکت icmp مبنی بر حذف پکت ارسال می کنه .
add-dst-to-address-list
add-src-to-address-list
قبل از اینکه به رفتار این دو بپردازیم بهتر است با آدرس لیست ها آشنا شویم . آدرس لیست ها زمانی به کار می آیند که شما بخواهید برای تعداد زیادی ای پی که از یک رنج یا محدوده نیستند تصمیم بگیرید . مثلا من میخوام سه ای پی جدا رو از دسترسی به وب محروم کنم . بدون استفاده از آدرس لیست ها من باید سه تا رول متفاوت بنویسم . -فکر کنید اگر تعداد این ای پی ها ۱۰۰ مورد بود چه میشد – برای راحتی اینگونه موارد از آدرس لیست ها استفاده میشود به این معنی که آدرس های مورد نظر تان را در یک لیست قرار داده و به ازای آن لیست یک رول می نویسید .
مثال : به شما گفته شده برای ای پی های ۱ ، ۵ ، ۹ ، ۱۲ از رنج ۱۹۲٫۱۶۸٫۵ دسترسی به پورت ۸۰ بسته بشه .
ابتدا از پنجره فایروال وارد تب آدرس لیست می شویم . و دکمه + را کلیک می کنیم . همانطور که می بینید این پنجره قسمتی برای وارد کردن نام آدرس لیست و قسمتی برای درج یک ای پی دارد . شما برای هر ای پی باید یک بار این عمل رو انجام بدین .
در صورتی که خواسته باشید بعضی از ای پی های ورودی تون رو لاگ کنید ، مثلا کسانی که سعی می کنند از طریق وین باکس به روتر شما وصل شوند یا فعالیت یک کاربر خاص رو زیر نظر بگیرید ، می تونید با کمک دو اکشن بالا یک لیست آدرس پویا از اونها تهیه ببینید .
اکشن اول ای پی مقصد رو براتون ذخیره می کنه و بعدی ای پی مبدا رو . اگر از این اکشن استفاده کنید می بینید که علاوه بر اسم آدرس لیست می تونید زمانی که میکروتیک ای پی مورد نظر رو داخل لیست آدرس مورد نظر تون ذخیره می کنه رو نیز مشخص کنید .
log
تقریبا شبیه مورد بالاست . اما با چند تفاوت مهم . اکشن لاگ ، برای شما یک سری اطلاعات رو داخل منوی system , log ذخیره می کنه . که شامل این اطلاعات میشه :
in-interface, out-interface, src-mac, protocol, src-iport->dst-iport and length of the packet.
اولین تفاوت همین اطلاعات بالاست که با اطلاعات ذخیره شده قبل متفاوته و دوم این که شما از لیست آدرس ها در رول های بعدی می تونید استفاده کنید اما لاگ صرفا جهت اطلاع است .
jump
پرش به زنجیره Chain مشخص شده
return
برگردان کنترل به زنجیره در جایی که پرش صورت گرفته عملیات
tarpit
ضبط و نگهداری ارتباطات TCP ( کاربرد در کم کردن اثر حملات DOS ) . این اکشن پکت های tcp رو نگه می داره و بهشون جواب مناسبی می ده . از این برای جلوگیری جملات dos استفاده میشه و حتی میشه باهاش یه هانی پات طراحی کرد .
passthrough
این اکشن کار خاصی انجام نمیده صرفا از رول خارج میشه یا صرف نظر می کنه . در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد ،بیشتر برای آمارگیری)
- عملیات های غیرمشترک جدول Filter متشکل شده از:
Drop : رها کردن بسته بدون ارسال پیغام و ICMP Reject
Reject : رها کردن بسته همراه با ارسال یک پیغام ICMP Reject
Tarpit : ضبط و نگهداری ارتباطات TCP ( کاربرد در کم کردن اثر حملات DOS )
- عملیات های غیرمشترک جدول NAT متشکل شده از:
Src-NAT : ترجمه آدرس مبدا بسته به آدرس مشخص شده-توضیحات در مطالب فوق
Dst-NAT : ترجمه آدرس مقصد بسته به آدرس مشخص شده-توضیحات در مطالب فوق
MASQUERADE : ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم- توضیحات در مطالب فوق
Redirect : جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده
Netmap: ایجاد یک لیست استاتیک 1 به 1 از یک لیست آدرس به یک لیست دیگر
Same: اختصاص یک آدرس از مقصد یا مبدا برای هر ارتباط به یک مشتری خاص از یک رنج اختصاص یافته
- عملیات های غیرمشترک جدول Mangle متشکل شده از:
Change DSCP-TOS : تغییر مقدار فیلد بسته TOS
Change TTL: بسته TTL تغییر مقدار فیلد بسته
Maximum Segment Size تغییر مقدار فیلد
Change MSS کاربرد در تانل IPSEC
Clear DF : پاک کردن بیت Don’t Fragment
Mark Connection نشانه گذاری ارتباط
Mark Packet: نشانه گذاری بسته ( کاربرد در کنترل پهنای باند(
Mark Routingنشانه گذازی مسیر ( کاربرد در عملیات مسیریابی پیشرفته(
Set Priorityتغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.
Strip IPv4 Options:
لینک PDF کاربردی با مثال سناریو
برای درک بیشتر فرایند NAT ، عملکرد آن را در قالب یک تصویر متحرک نشان داده ایم .
برای دانلود فایل متحرک آموزش NAT بر روی این لــیــنـــک کلیک کنید .
برای دانلود فصل سوم از مجموعه آموزش های میکروتیک بر روی این لـیــنـــک کلیک کنید.
لینک آموزشی دوم
<!---* Protect.Blog.ir- -هر نوع کپی برداری با ذکر یک صلوات برای سلامتی و تعجیل در ظهور مولا صاحب الزمان بدون ذکر منبع مجاز است- -Protect.Blog.ir *!-->
