بسم الله الرحمن الرحيم
طبعا كلنا عارفين مشاكل الفيروسات واللى بتعمله فى جودة النت
نبدء شرح فكرة الموضوع
طبعا الحل الاول لما كنا بنحدد عدد اتصالات لكل عميل للاسف الرول كان بيحدد اتصالات TCP فقط
ولا يحدد اتصالات UDP وبذلك كان الكود يمثل نصف الحل
اذا ما هو الحل النهائى
المفروض اننا ندور على بورتات الفيروسات ونقفلها
بس طبعا صعب جداا لانها كتيرة اووووووووى
وطبعا على الاقل هنحط 300 او 400 رول فى السيرفر لقفلهم وبردوة مش هيكون حل عملى
طيب ياعم انت وجعت رسنا
ما تقول على الحل وتخلص
الحل اننا نسمح بالبورتات المهمة ونقفل الباقى وبكدة هنرتاح من الفيروسات وقرفها لاء
وكمان برامج البروكسى المقرفة لاننا مش هنسمح ببورتاتها انها تشتغل
TCP PRTOCOL
البروتوكول الخاص بالتصفح والدونلود وبرامج الشات وخلافه
اول رول :فهو الذى سيسمح بفتح وغلق البورتات ويجب ان تكون الرولات بنفس الترتيب
/ip firewall filter
add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
tcp protocol=tcp src-address=10.1.1.0/24
add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
tcp protocol=tcp src-address=10.1.1.0/24
الرول الخاص بتشغيل التصفح والدونلود على بورت 80
add action=accept chain=tcp comment="Http ports" disabled=no dst-port=80 \
protocol=tcp src-address=10.1.1.0/24
protocol=tcp src-address=10.1.1.0/24
الرول الخاص بتشغيل الوين بوكس
add action=accept chain=tcp comment="allow win box" disabled=no dst-port=8291 \
protocol=tcp src-address=10.1.1.0/24
protocol=tcp src-address=10.1.1.0/24
الرول الخاصة بتشغيل برامج الشات مثل الياهو والmsn وال skype
add action=accept chain=tcp comment="CHAT Services" disabled=no dst-port=\
443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
10.1.1.0/24
443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
10.1.1.0/24
اخر رول ولازم يكون ترتيب الاخر بعد الرولات السابقة ودة اللى هيقفل جميع البورتات المتبقيه
add action=drop chain=tcp comment="Drop Other Ports" disabled=no protocol=tcp \
src-address=10.1.1.0/24
src-address=10.1.1.0/24
UDP PROTOCOL
بروتوكول UDP الذى يسمح بتشغيل خدمات مثل الDNS وDHCP وNTPوNeighbour discoveryوMAC WINBOX
اول رول :بردة هو اللى هيسمح انه يفتح او يقفل اى بورت
add action=jump chain=forward comment="UDP SERVICE" disabled=no jump-target=\
udp protocol=udp src-address=10.1.1.0/24
udp protocol=udp src-address=10.1.1.0/24
2-الرول الخاصة بتشغيل الDNS
add action=accept chain=udp comment=DNS disabled=no dst-port=53 protocol=udp \
src-address=10.1.1.0/24
src-address=10.1.1.0/24
3-الرول الخاصة بتشغيل الDHCP
add action=accept chain=udp comment=DHCP disabled=no dst-port=67-68 protocol=\
udp src-address=10.1.1.0/24
udp src-address=10.1.1.0/24
الرول الخاصة بتشغيل NTP
add action=accept chain=udp comment=NTP disabled=no dst-port=123 protocol=udp \
src-address=10.1.1.0/24
src-address=10.1.1.0/24
الرول الخاصة بتشغيل الوين بوكس من خلال الماك
add action=accept chain=udp comment="MAC WINBOX" disabled=no dst-port=20561 \
protocol=udp src-address=10.1.1.0/24
protocol=udp src-address=10.1.1.0/24
الرول الخاصة بتشغيل برنامج Neighbour discovery للتحم فى السيرفر من خلاله
add action=accept chain=udp comment="Neighbour discovery" disabled=no \
dst-port=5678 protocol=udp src-address=10.1.1.0/24
dst-port=5678 protocol=udp src-address=10.1.1.0/24
اخر رول ودى ايضا اللى بتقفل جميع البورتات المتبقيه
add action=drop chain=udp comment="drop other udp ports" disabled=no \
protocol=udp src-address=10.1.1.0/24
protocol=udp src-address=10.1.1.0/24
ICMP PROTOCOL
ودة اللى بيسمح لينا اننا نعمل بنج على اى موقع وطبعا فى حاجة اسمها بنج مميت بيشل حركة السيرفر
طيب هنعمل فيه ايه
نشغل البنج لصاحب الشبكة ونقفله على باقى المشتركين
add action=jump chain=forward comment="ICMP Service" disabled=no jump-target=\
icmp protocol=icmp src-address=10.1.1.0/24
add action=accept chain=icmp comment="" disabled=no protocol=icmp \
src-address=10.1.1.109
add action=drop chain=icmp comment="drop ping on network" disabled=no \
protocol=icmp src-address=10.1.1.0/24
icmp protocol=icmp src-address=10.1.1.0/24
add action=accept chain=icmp comment="" disabled=no protocol=icmp \
src-address=10.1.1.109
add action=drop chain=icmp comment="drop ping on network" disabled=no \
protocol=icmp src-address=10.1.1.0/24
اول رول لتشغله وتانى رول للسماح بالبنج لجهازى فقط واخر رول لقفل البينج عى المشتركين
يرجى تعديل 10.1.1.109 الى الايبي الخاص بك ايضا تعديل 10.1.1.0 الى الايبي الخاص بك
كدة خلصنا الشرح الخاص بكل رول
دلوقتى هحط الرول النهائى
/ip firewall filter
add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
tcp protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="Http ports" disabled=no dst-port=80 \
protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="allow win box" disabled=no dst-port=8291 \
protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="CHAT Services" disabled=no dst-port=\
443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
10.1.1.0/24
add action=drop chain=tcp comment="Drop Other Ports" disabled=no protocol=tcp \
src-address=10.1.1.0/24
add action=jump chain=forward comment="ICMP Service" disabled=no jump-target=\
icmp protocol=icmp src-address=10.1.1.0/24
add action=accept chain=icmp comment="" disabled=no protocol=icmp \
src-address=10.1.1.109
add action=drop chain=icmp comment="drop ping on network" disabled=no \
protocol=icmp src-address=10.1.1.0/24
add action=jump chain=forward comment="UDP SERVICE" disabled=no jump-target=\
udp protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment=DNS disabled=no dst-port=53 protocol=udp \
src-address=10.1.1.0/24
add action=drop chain=udp comment="Allow open dns only" disabled=no \
dst-address=208.67.222.123 dst-port=53 protocol=udp src-address=\
10.1.1.0/24
add action=drop chain=udp comment="" disabled=no dst-address=208.67.220.123 \
dst-port=53 protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment=DHCP disabled=no dst-port=67-68 protocol=\
udp src-address=10.1.1.0/24
add action=accept chain=udp comment=NTP disabled=no dst-port=123 protocol=udp \
src-address=10.1.1.0/24
add action=accept chain=udp comment="MAC WINBOX" disabled=no dst-port=20561 \
protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment="Neighbour discovery" disabled=no \
dst-port=5678 protocol=udp src-address=10.1.1.0/24
add action=drop chain=udp comment="drop other udp ports" disabled=no \
protocol=udp src-address=10.1.1.0/24
add action=jump chain=forward comment="TCP Service" disabled=no jump-target=\
tcp protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="Http ports" disabled=no dst-port=80 \
protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="allow win box" disabled=no dst-port=8291 \
protocol=tcp src-address=10.1.1.0/24
add action=accept chain=tcp comment="CHAT Services" disabled=no dst-port=\
443,5000,5001,5050,5100,1408,1863,7070,123 40 protocol=tcp src-address=\
10.1.1.0/24
add action=drop chain=tcp comment="Drop Other Ports" disabled=no protocol=tcp \
src-address=10.1.1.0/24
add action=jump chain=forward comment="ICMP Service" disabled=no jump-target=\
icmp protocol=icmp src-address=10.1.1.0/24
add action=accept chain=icmp comment="" disabled=no protocol=icmp \
src-address=10.1.1.109
add action=drop chain=icmp comment="drop ping on network" disabled=no \
protocol=icmp src-address=10.1.1.0/24
add action=jump chain=forward comment="UDP SERVICE" disabled=no jump-target=\
udp protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment=DNS disabled=no dst-port=53 protocol=udp \
src-address=10.1.1.0/24
add action=drop chain=udp comment="Allow open dns only" disabled=no \
dst-address=208.67.222.123 dst-port=53 protocol=udp src-address=\
10.1.1.0/24
add action=drop chain=udp comment="" disabled=no dst-address=208.67.220.123 \
dst-port=53 protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment=DHCP disabled=no dst-port=67-68 protocol=\
udp src-address=10.1.1.0/24
add action=accept chain=udp comment=NTP disabled=no dst-port=123 protocol=udp \
src-address=10.1.1.0/24
add action=accept chain=udp comment="MAC WINBOX" disabled=no dst-port=20561 \
protocol=udp src-address=10.1.1.0/24
add action=accept chain=udp comment="Neighbour discovery" disabled=no \
dst-port=5678 protocol=udp src-address=10.1.1.0/24
add action=drop chain=udp comment="drop other udp ports" disabled=no \
protocol=udp src-address=10.1.1.0/24
والله رولات كتير مهمة
ردحذف