-->

انتهى زمن الفيروسات المؤثرة على جودة النت رول جديد يحل كل مشاكلك

انتهى زمن الفيروسات المؤثرة على جودة النت  رول جديد يحل كل مشاكلك
    بسم الله الرحمن الرحيم

    طبعا كلنا عارفين مشاكل الفيروسات واللى بتعمله فى جودة النت
    نبدء شرح فكرة الموضوع


    طبعا الحل الاول لما كنا بنحدد عدد اتصالات لكل عميل للاسف الرول كان بيحدد اتصالات TCP فقط
    ولا يحدد اتصالات UDP وبذلك كان الكود يمثل نصف الحل

    اذا ما هو الحل النهائى
    المفروض اننا ندور على بورتات الفيروسات ونقفلها
    بس طبعا صعب جداا لانها كتيرة اووووووووى
    وطبعا على الاقل هنحط 300 او 400 رول فى السيرفر لقفلهم وبردوة مش هيكون حل عملى
    طيب ياعم انت وجعت رسنا
    ما تقول على الحل وتخلص
    الحل اننا نسمح بالبورتات المهمة ونقفل الباقى وبكدة هنرتاح من الفيروسات وقرفها لاء
    وكمان برامج البروكسى المقرفة لاننا مش هنسمح ببورتاتها انها تشتغل
     
    TCP PRTOCOL
    البروتوكول الخاص بالتصفح والدونلود وبرامج الشات وخلافه
    اول رول :فهو الذى سيسمح بفتح وغلق البورتات ويجب ان تكون الرولات بنفس الترتيب


    /ip firewall filter
    add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
    tcp protocol=tcp src-address=10.1.1.0/24



    الرول الخاص بتشغيل التصفح والدونلود على بورت 80
    add action=accept chain=tcp comment="Http ports" disabled=no dst-port=80 \
    protocol=tcp src-address=10.1.1.0/24



    الرول الخاص بتشغيل الوين بوكس
    add action=accept chain=tcp comment="allow win box" disabled=no dst-port=8291 \
    protocol=tcp src-address=10.1.1.0/24




    الرول الخاصة بتشغيل برامج الشات مثل الياهو والmsn وال skype
    add action=accept chain=tcp comment="CHAT Services" disabled=no dst-port=\
    443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
    10.1.1.0/24

    اخر رول ولازم يكون ترتيب الاخر بعد الرولات السابقة ودة اللى هيقفل جميع البورتات المتبقيه
    add action=drop chain=tcp comment="Drop Other Ports" disabled=no protocol=tcp \
    src-address=10.1.1.0/24


    UDP PROTOCOL
    بروتوكول UDP الذى يسمح بتشغيل خدمات مثل الDNS وDHCP وNTPوNeighbour discoveryوMAC WINBOX

    اول رول :بردة هو اللى هيسمح انه يفتح او يقفل اى بورت

    add action=jump chain=forward comment="UDP SERVICE" disabled=no jump-target=\
    udp protocol=udp src-address=10.1.1.0/24


    2-الرول الخاصة بتشغيل الDNS
    add action=accept chain=udp comment=DNS disabled=no dst-port=53 protocol=udp \
    src-address=10.1.1.0/24



    3-الرول الخاصة بتشغيل الDHCP
    add action=accept chain=udp comment=DHCP disabled=no dst-port=67-68 protocol=\
    udp src-address=10.1.1.0/24


    الرول الخاصة بتشغيل NTP
    add action=accept chain=udp comment=NTP disabled=no dst-port=123 protocol=udp \
    src-address=10.1.1.0/24


    الرول الخاصة بتشغيل الوين بوكس من خلال الماك
    add action=accept chain=udp comment="MAC WINBOX" disabled=no dst-port=20561 \
    protocol=udp src-address=10.1.1.0/24


    الرول الخاصة بتشغيل برنامج Neighbour discovery للتحم فى السيرفر من خلاله
    add action=accept chain=udp comment="Neighbour discovery" disabled=no \
    dst-port=5678 protocol=udp src-address=10.1.1.0/24



    اخر رول ودى ايضا اللى بتقفل جميع البورتات المتبقيه
    add action=drop chain=udp comment="drop other udp ports" disabled=no \
    protocol=udp src-address=10.1.1.0/24

    ICMP PROTOCOL
    ودة اللى بيسمح لينا اننا نعمل بنج على اى موقع وطبعا فى حاجة اسمها بنج مميت بيشل حركة السيرفر
    طيب هنعمل فيه ايه
    نشغل البنج لصاحب الشبكة ونقفله على باقى المشتركين 

    add action=jump chain=forward comment="ICMP Service" disabled=no jump-target=\
    icmp protocol=icmp src-address=10.1.1.0/24
    add action=accept chain=icmp comment="" disabled=no protocol=icmp \
    src-address=10.1.1.109
    add action=drop chain=icmp comment="drop ping on network" disabled=no \
    protocol=icmp src-address=10.1.1.0/24

    اول رول لتشغله وتانى رول للسماح بالبنج لجهازى فقط واخر رول لقفل البينج عى المشتركين
    يرجى تعديل 10.1.1.109 الى الايبي الخاص بك ايضا تعديل 10.1.1.0
    الى الايبي الخاص بك
     

    كدة خلصنا الشرح الخاص بكل رول
    دلوقتى هحط الرول النهائى
     
    /ip firewall filter
    add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
    tcp protocol=tcp src-address=10.1.1.0/24
    add action=accept chain=tcp comment="Http ports" disabled=no dst-port=80 \
    protocol=tcp src-address=10.1.1.0/24
    add action=accept chain=tcp comment="allow win box" disabled=no dst-port=8291 \
    protocol=tcp src-address=10.1.1.0/24
    add action=accept chain=tcp comment="CHAT Services" disabled=no dst-port=\
    443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
    10.1.1.0/24
    add action=drop chain=tcp comment="Drop Other Ports" disabled=no protocol=tcp \
    src-address=10.1.1.0/24
    add action=jump chain=forward comment="ICMP Service" disabled=no jump-target=\
    icmp protocol=icmp src-address=10.1.1.0/24
    add action=accept chain=icmp comment="" disabled=no protocol=icmp \
    src-address=10.1.1.109
    add action=drop chain=icmp comment="drop ping on network" disabled=no \
    protocol=icmp src-address=10.1.1.0/24
    add action=jump chain=forward comment="UDP SERVICE" disabled=no jump-target=\
    udp protocol=udp src-address=10.1.1.0/24
    add action=accept chain=udp comment=DNS disabled=no dst-port=53 protocol=udp \
    src-address=10.1.1.0/24
    add action=drop chain=udp comment="Allow open dns only" disabled=no \
    dst-address=208.67.222.123 dst-port=53 protocol=udp src-address=\
    10.1.1.0/24
    add action=drop chain=udp comment="" disabled=no dst-address=208.67.220.123 \
    dst-port=53 protocol=udp src-address=10.1.1.0/24
    add action=accept chain=udp comment=DHCP disabled=no dst-port=67-68 protocol=\
    udp src-address=10.1.1.0/24
    add action=accept chain=udp comment=NTP disabled=no dst-port=123 protocol=udp \
    src-address=10.1.1.0/24
    add action=accept chain=udp comment="MAC WINBOX" disabled=no dst-port=20561 \
    protocol=udp src-address=10.1.1.0/24
    add action=accept chain=udp comment="Neighbour discovery" disabled=no \
    dst-port=5678 protocol=udp src-address=10.1.1.0/24
    add action=drop chain=udp comment="drop other udp ports" disabled=no \
    protocol=udp src-address=10.1.1.0/24