آموزش مهندسی شبکه 3 دقیقه مطالعه

دیوار آتش MikroTik: از LAN تا اسکریپت واحد

راهنمای جامع تولید اسکریپت Unified Cyber Shield برای MikroTik — تعریف رنج‌های LAN در Aban_Local_LANs، قفل پورت‌های مدیریت، ماژول‌های IPS و خروجی آماده Paste در WinBox. مناسب شبکه‌های چند VLAN و چند شعبه.

در این راهنما گام‌به‌گام یاد می‌گیرید چطور با ابزار دیوار آتش آبانت یک اسکریپت واحد RouterOS تولید کنید — بدون نوشتن دستی docenas rule. خروجی نهایی برای Paste در WinBox آماده است.

۱. پیش‌نیازها

  • روتر MikroTik با RouterOS v6 یا v7 (ترجیحاً v7)
  • دسترسی WinBox یا SSH به روتر
  • شناخت پورت WAN متصل به مودم/ISP (مثلاً ether1)
  • لیست زیرشبکه‌های LAN مجاز (یک یا چند رنج)

۲. تعریف رنج‌های LAN در Aban_Local_LANs

در ابزار آبانت، فیلد LAN Subnet رنج مجاز شبکه داخلی را مشخص می‌کند. اسکریپت تولیدشده آدرس‌ها را در address-list با نام Aban_Local_LANs ثبت می‌کند — به‌جای تکرار rule برای هر CIDR.

  • یک رنج: 192.168.88.0/24
  • چند رنج در یک فیلد: با کاما جدا کنید
  • چند ردیف جدا: از دکمه + استفاده کنید (مثلاً VLAN یا شعبه)
  • IP تکی: به‌صورت خودکار /32 در نظر گرفته می‌شود

۳. WAN و پورت‌های مدیریت

WAN Interface همان پورتی است که اینترنت/ISP به آن وصل است — فیزیکی یا مجازی (PPPoE). Admin Ports پورت‌های Winbox، SSH و WebFig هستند که فقط از LAN مجاز باز می‌مانند؛ پیش‌فرض: 8291,22,80.

۴. Blacklist Timeout

مدت زمان مسدودسازی IPهای مهاجم پس از port scan یا brute-force — مقدار RouterOS مثل 1d یا 12h.

۵. ماژول‌های IPS / امنیت

بسته به نیاز، ماژول‌ها را فعال کنید:

  • Stateful Inspection — هسته (همیشه فعال)
  • ضد DDoS (RAW) — SYN flood
  • ضد اسکن پورت — PSD + address-list
  • قفل مدیریت — Admin فقط از LAN
  • مسدود SMTP — خروج spam از WAN
  • سپر IPv6 — ND-safe + WAN drop
  • Malware / IDS Log — پورت‌های باج‌افزار و لاگ حمله
  • تزریق baseline ادمین آبانت — hardening پیشنهادی (روترهای ضعیف: با احتیاط)

۶. تولید و اجرای اسکریپت

  1. در ابزار دیوار آتش فیلدها را پر کنید.
  2. ترمینال پایین صفحه اسکریپت Unified Cyber Shield را نشان می‌دهد.
  3. کپی اسکریپت → WinBox → New Terminal → Paste → Enter.
  4. پس از اجرا، از بخش Firewall rules و address-list صحت را بررسی کنید.

۷. چند VLAN یا چند شعبه

برای هر رنج LAN جدا (مثلاً 10.10.1.0/24 کارخانه و 10.20.0.0/24 اداری) دکمه + را بزنید یا در یک فیلد با کاما بنویسید. همه در Aban_Local_LANs جمع می‌شوند و ruleهای admin lock یک‌بار اعمال می‌شوند.

جمع‌بندی

با این روش یک pipeline واحد دارید: LAN → address-list → RAW/Stateful → IPS → WAN drop. برای تست سریع از پیش‌فرض‌ها شروع کنید و فقط WAN و LAN را اصلاح کنید.

باز کردن ابزار دیوار آتش آبانت