firewall realizacija na mikrotik ruteru

Firewall- Realizacija na MikroTik ruteru

ELEKTROTEHNIČKI FAKULTET

SARAJEVO

SEMINARSKI RAD -ARHITEKTURE PAKETSKIH ČVORIŠTA-

FIREWALL – realizacjia na MikroTik routeru

Grupa 5:

Aldina Bajraktarević

Velida Husić

Alisa Šabanović

Sarajevo, 15.12.2010.god.

1


SADRŽAJ........................................................................................................................................2

UVOD..............................................................................................................................................3

RouterOS..........................................................................................................................................5

Firewall............................................................................................................................................9

Bridge firewall...............................................................................................................................11

Struktura firewall filtera.................................................................................................................12

Firewall održavanje........................................................................................................................23

Blokiranje određenih klijenata.......................................................................................................26

Spriječavanje kompletnog saobraćaja određene grupe..................................................................29

Firewall Mangle.............................................................................................................................32

2


UVOD

Firewall je bezbjednosni hardverski ili softverski uređaj, najčešće smješten između lokalne mreže i javne mreže (Interneta), čija je namjena da štiti podatke u mreži od neautorizovanih korisnika (blokiranjem i zabranom pristupa po pravilima koje definiše usvojena bezbjednosna politika). Služi za spriječavanje komunikacije zabranjene određenom mrežnom polistikom. Vrlo često ne moraju svi korisnici u LAN-u da imaju jednaka prava pristupa mreži. Postavljanjem firewall uređaja između dva ili više mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika pojedinim dijelovima mreže. Firewall može biti softverski ili hardverski. Osnovna prednost hardverskih firewall-a je brzina rada i realizacija na specijalizovanom namjenskom operativnom sistemu što ga čini neranjivim na tom nivou. Osnovna prednost softverskog firewall-a je proširivost. Proširivost u ovom slučaju predstavlja mogućnost proširenja skupa parametra paketa koji se mogu uzeti u obzir prije donošenja odluke šta će se sa paketom uraditi. Osnova rada firewall-a je u ispitivanju IP paketa koji putuju između klijenta i servera, čime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smijera. Bitno je istaći da je server, pored osnovne funkcije da vrši autentifikaciju korisnika, također, firewall, odnosno, zaštitni zid koji provjerava saobraćaj i blokira potencijalne napadače, tj. njihove IP adrese. Računarske mreže obično predstavljaju dijeljeni resurs kojeg koristi veliki broj ljudi koji pokreću veliki broj aplikacija za različite svrhe. U takvom okruženju često se javlja potreba za razmjenom povjerljivih informacija koje ni u kom slučaju ne smiju postati dostupne neovlaštenim osobama. Rastom globalne svjetske mreže raste i broj pokušaja neovlaštenog pristupa i zloupotrebe tuđih računarskih resursa i informacija. Zbog toga je veoma važno voditi računa o zaštiti računarskih mreža, kao i zaštiti svakog pojedinog računara unutar mreže.

Jedan od najvažnijih zaštitnih mehanizama koji se koristi na računarima povezanim u mrežu je vatrozid (firewall). Vatrozid predstavlja sigurnosni sistem koji omogućava protok podataka od zaštićenog računara ili prema njemu (pokrenut od strane autoriziranog korisnika), a istovremeno onemogućuje neovlašteno pristupanje računaru ili mreži. Vatrozid prema zadanim kriterijima i pravilima provjerava sve mrežne pakete koji pristižu na računar ili mrežu. Pri tome, ovisno o postavljenim pravilima, on pojedine pakete propušta ili blokira. Za vatrozid bi se moglo reći da zapravo predstavlja posebno programirani usmjerivač (router) koji dijeli lokalni dio mreže od ostatka mreže. Vatrozid je moguće promatrati kao usmjerivač budući da je povezan sa dvije ili više mreža i vrši prosljenivanje paketa iz jedne u drugu mrežu, no pri tome još i obavlja filtriranje paketa prema prethodno zadanim kriterijima. Implementacija ovakvog vatrozida omogućava administratoru centralizirano upravljanje sigurnosnim mjerama.

U praksi se često javlja potreba za razmjenom povjerljivih informacija izmenu međusobno

3


udaljenih računara koja se ne nalaze na zajedničkoj sigurnoj mreži, nego ih je potrebno povezati preko javne nesigurne mreže (npr. Interneta). U takvim slučajevima koriste se virtualne privatne mreže (VPN – Virtual Private Network). VPN omogućava kontrolirano i sigurno povezivanje udaljenih čvorova kroz javnu mrežu. VPN mreže temelje se na konceptu IP tuneliranja, što podrazumijeva stvaranje virtualnog point-to-point linka između dvaju čvorova koji su u stvarnosti razdvojeni čitavim nizom mreža. Virtualni tunel na svojim krajevima ima usmjerivače (routere) između kojih se zapravo kreira virtualni link. Kada usmjerivač na početku tunela želi poslati paket putem virtualnog linka on ga enkapsulira unutar IP datagrama čija je odredišna adresa adresa usmjerivača na kraju tunela. Kako bi se osigurala povjerljivost informacije prilikom slanja koristi se i odgovarajuća enkripcija.

Firewall je mrežni uređaj čija je namjena filtriranje mrežnog prometa tako da se stvori sigurnosna zona. Program koji želi pristupiti Internetu treba imati dopuštenje od firewall-a. Obično se kombiniraju usmjerivači i sigurnosne stijene, kao jedan uređaj, ili se kaskadiraju, npr. unutarnja (osigurana) mreža - sigurnosna stijena – usmjerivač - vanjski svijet.

Firewall sa širokom dostupnošću Interneta, 24 sata dnevno, postalo je popularna osobina koja štiti jedan računar od upada zlonamjernih osoba, dok je poseban računar koji radi samo kao firewall/usmjernik uglavnom rješenje koje se primjenjuje kad se štiti više od jednog računara. Hardverski firewall je također računar, ali obično bez tvrdog diska, grafičke kartice, sastoji se obično od procesora, memorije i EPROM-a (sabirnice, mrežni/paralelni portovi se podrazumijevaju).

Danas ih klasificiramo u 4 grupe, obzirom na kojem nivou OSI modela "djeluju".

1. Filtriranje paketa2. Sigurnosne stijene na transportnom sloju

3. Sigurnosne stijene na aplikacijskom sloju (proxies)

4. Sigurnosne stijene s višeslojnim ispitivanjem paketa

Jedan od poznatih firewall-a je ZoneAlarm, koji ima besplatnu i komercijalnu verziju. Pojedini antivirusni programi, također, imaju ugrađen firewall.

4

http://hr.wikipedia.org/w/index.php?title=ZoneAlarm&action=edit&redlink=1

http://hr.wikipedia.org/wiki/Proxy

http://hr.wikipedia.org/wiki/OSI

http://hr.wikipedia.org/wiki/Sabirnica

http://hr.wikipedia.org/wiki/EPROM

http://hr.wikipedia.org/wiki/Procesor

http://hr.wikipedia.org/wiki/Grafi%C4%8Dka_kartica

http://hr.wikipedia.org/wiki/Tvrdi_disk

http://hr.wikipedia.org/wiki/Ra%C4%8Dunalo

http://hr.wikipedia.org/wiki/Internet

http://hr.wikipedia.org/w/index.php?title=Mre%C5%BEni_promet&action=edit&redlink=1


RouterOS

MikroTik RouterOS je operativni sistem MikroTik RouterBOARD hardvera.

Također, može se instalirati na PC, koji time postaje ruter sa svim neophodnim karakteristikama i funkcijama: rutiranje, firewall, upravljanje propusnim opsegom, bežičnim pristupom, backhaul linkom, hotspot gateway-om, VPN serverom i dr.

RouterOS je stand-alone operativni sistem, baziran na Linux v2.6 kernelu, i naš cilj ovdje je obezbijediti sve navedene funkcije jednostavnom i brzom instalacijom i sa lako razumljivim interfejsom.

Instalacija MikroTik ruter-a

• Potrebno je najmanje 64MB slobodnog prostora za instalaciju RouterOS koji će potom formatirati particiju i postati defaultni operativni sistem uređaja na kojem je instaliran. Da bi se MikroTik OS mogao pokrenuti također je potreban PC sa najmanje 100MHz - procesor i 64MB RAM memorije.

• Proces instaliranja MikroTik RouterOS (sa CD-a kao instalacisjkog medija) :

• Preuzimanje instalacijskog arhivskog fajla koji sadrži RouterOS sa stranice www.mikrotik.com. Zavisno od vrste instalacionog medija (CD, disketa..) izabrati na stranici jedan od ponuđenih tipova arhivskih fajlova. Za CD instalacioni medij izabrati ISO image fajl.

• Kreiranje instalacionog medija: spasiti ISO image fajl na prazan CD.

• Instaliranje MikroTik RouterOS sa CD-a: ubaciti kreirani instalacijski CD u cdrom računara koji će obavljati funkcije MikroTik rutera. Podesiti da se sistem računara podiže sa instalacijskog CD-a.

• Nakon podizanja s CD-a MikroTik će provjeriti kompatibilnost konfiguracije , zatim MikroTik OS će vas zapitati koje pakete operativnog sustava želite koristiti (Slika

5


• U ovom slučaju odabran je osnovni ‘system’ paket za instaliranje. Za odabir svih paketa pritisnuti tipku 'a'. Nakon odabira paketa (jednog ili više) pritisnuti tipku 'i' da bi se pristupilo njihovom instaliranju.

• Prije samog procesa instalacije korisniku su postavljena još 2 pitanja:

• Da li želi nastaviti sa instalacijom jer će u tom slučaju svi podaci na hard disku biti izbrisani

Warning: all data on the disk will be erased!

Continue? [y/n]

• Pritisnuti [Y] za nastavak a [N] za prekid instalacija. Nakon odabira opcije [Y] potrebno je odgovoriti na još jedno pitanje:

• Da li korisnik želi sačuvati staru konfiguraciju [y/n]:

Do you want to keep old configuration? [y/n]:

• Pošto se želi instalirati nova konfiguracija izabire se opcija [N].

• Nakon toga na ekranu se prikazuje da je u toku proces kreiranja particije i formatiranja hard diska. Sistem potom pristupa instalaciji odabranih paketa.

6


Creating partition...

Formatting disk...

• Poslije uspješne instalacije paketa izvaditi cd iz cdrom-a i pristisnuti tipku ENTER da bi se ruter restartovao. Sama instalacija MikroTik OS-a time je završena.

7


Software installed. Press ENTER to reboot

RouterOS se može isprobati bilo kad, samo je potrebno posjetiti stranicu www . mikrotik . com i izvršiti download instalacije. Besplatno izdanje obezbjeđuje sve prethodno navedene funkcije bez ograničenja. U nastavku su objašnjene neke od najvažnijih funkcija RouterOS-a.

Hardver

RouterOS podržava multi-core i multi-CPU računare (SMP). Možete ga pokrenuti sa posljednjih i najvećih Intelovih matičnih ploča uz najnovije multicore CPU-ove.

RouterOS podržava instalaciju na IDE, SATA i USB uređaje, što uključuje HDD, CF i SD kartice, SDD diskove i dr. Potrebno je najmanje 64MB prostora da bi se instalirao RouterOS, koji će formatirati vašu particiju i postati default-ni operativni sistem uređaja na kome se nalazi.

Naravno, RouterOS podržava više mrežnih interfejsa, uključujući i posljednje 10 Gigabit ethernet kartice, 802.11a/b/g/n bežične kartice i 3G modeme.

Konfiguracija

Router OS podržava razne metode konfiguracije – lokalni pristup uz tastaturu i monitor, serijska konzola sa terminal aplikacijom, Telnet i sigurnosni SSH pristup preko mreža, klasični GUI konfiguracijski alat Winbox, jedostavni Web bazirani konfiguracijski interfejs i API progrmski interfejs za izgradnju vlastite kontrolne aplikacije. U slučaju da ne postoji lokalni pristup, i da još pri tome postoji problem u komunikaciji na IP nivou, RouterOS također podržava konekciju baziranu na MAC nivou korištenjem Mac-Telnet i Winbox alata.

RouterOS-a ima moćan i lako razumljiv command-line konfiguracijski interfejs sa integrisanim sposobnostima skriptovanja.

• Winbox GUI preko IP i MAC nivoa

• CLI sa Telnet, SSH, Lokalne konzole i Serijske konzole

• API za programiranje vaših vlastitih alata

• Web interfejs

Novost kod RouterOS v.4 je Lua jezik za skriptovanje koji otvara više pristupa za automatizaciju i programiranje vašg rutera.

8

http://www.mikrotik.com/


Firewall

Firewall implementira filtriranje paketa i time osigurava funkcije sigurnosti koje se također koriste za upravljanje podatkovnim tokovima od rutera i kroz ruter. Zajedno sa Network Address Translation, koristi se i za prevenciju neautorizovanog pristupa susjednim mrežama, kao i pristupa samom ruteru, kao filteru odlaznog saobraćaja.

RouterOS obezbjeđuje inteligentni firewall, što znači da vrši inteligentu ‘inspekciju’ paketa i vodi evidenciju o stanju mrežnih konekcija koje ‘prolaze’ kroz njega.

Također podržava izvorni i odredišni NAT (Source and Destination Network Access Translation), NAT pomagače za popularne aplikacije i UPnP.

Firewall obezbjeđuje funkcije za korištenje internih konekcija, rutiranje i označavanje paketa.

Može vršiti filtriranje prema IP adresi, rangu adrese, portu, rangu porta, IP protokolu, DSCP-u i drugim parametrima, također podržava statičke i dinamičke adresne liste i može označavati pakete prema uzorku iz njihovog sadržaja., koji je specificiran u regularnim izrazima, koji predstavljaju označavanje na nivou 7. RouterOS firewall-a također podržava IPv6.

MikroTic RouterOS Firewall je postavljen između mreže kompanije i javne mreže, efektvno štiteći vaše računare od zlonamjernih hakerskih aktivnosti, i kontrolišući podatkovne tokove koji dolaze na ruter, tokove unutar rutera i one koji napuštaju ruter.

MikroTik RouterOS firewall omogućava filtriranje i funkcije sigurnosti.

Aplikacije:

Zaštita rutera od neovlaštenog pristupa

Moguće je nadgledati konekcije prema adresi, koje su usmjerene prema samom ruteru i dozvoliti pristup samo određenim hostovima na određene TCP portove rutera. Firewall kontroliše sve informacije koje dolaze sa interneta i upozorava i blokira pokušaje ometanja prema određenim pravilima koja su podešena od strane korisnika.

Zaštita korisnikovog hosta

Moguće je nadgledati konekcije prema adresi, koje su usmjerene prema korisnikovoj mreži, i dozvoliti pristup samo određenim hostovim i servisima. Također se može omogućiti korisnicima efektivnu i proaktivnu odbranu od zlonamjernih napada.

9


Korištenje maskiranja za skrivanje privatne mreže iza jedne eksterne adrese.

Sve konekcije sa privatnih adresa mogu biti maskirane, tako da izgledaju kao da dolaze sa jedne eksterne adrese. Firewall će se ponašati kao gateway za cijelu vašu mrežu da omogući poslovnim mrežama da dijele jednu, sigurnu konekciju prema internetu.

Provedba Internet Usage Policy iz korisnikove mreže

Firewall omogućava da kontrolu konekcije sa korisnikove mreže i obezbjeđuje detaljne statistike saobraćaja za sve linkove.

Prioritetiziranje saobraćaja

Moguće je označavati pakete prema prioritetu da bi se osigurala najbrža konekcija za najvažnije pakete. Ovim se garantuje da sve grupe uvijek dobiju odgovarajući propusni opseg i osigurava se kontrolisani protok mrežnog saobraćaja, čime se spriječava “izgladnjivanje” tokova.

Osiguravanje redova čekanja za odlazne pakete

Ovim se postiže limitiranje brzine konekcije za određen grupe paketa. Hijerarhija klasa omogućava izgradnju fleksibilne i veoma logične reprezentacije korisnikovog saobraćaja.

10


BRIDGE FIREWALL

Bridge firewall implementira filtriranje paketa i na taj način obezbjeđuje sigurnosne funkcije koje će biti korištene za upravljanje protoka podataka od, ka i kroz bridge. Elementi koji predstavljaju bridge firewall su:

Bridge filter; Brige NAT i Bridge Broute.

Bridge filter ima tri dijela: ulaz, izlaz i forward. Primjer navedenog je aplikacija za filtriranje broadcast saobraćaja.

Bridge NAT

NAT predstavlja mrežnu adresnu translaciju, koja obezbjeđuje puteve za mijenjanje izvor/odredište MAC adrese paketa koji prolaze kroz bridge. NAT se sastoji iz dva dijela:

src-nat; dst-nat,

Bridge NAT može biti upotrebljen za ARP.

Bridge Broute omogućava da bridge postane brouter, tj. ruter koji ima mogućnost rutiranja nekih paketa, kao i mogućnost bridginga. Bridge Broute ima samo jedan gradivni element, to je brouting. Kao primjer navedimo slučaj da je potrebno samo IP rutirati, a sve ostalo usmjeravati (IPX).

11


Struktura Firewall filtera

Šta je Firewall filter ?

• Firewall filter je alat za filtriranje paketa i time pruža sigurnosne funkcije koje se koriste za upravljanje tokom podatka u, iz i kroz rutera. • Firewall filter jedan je od alata koji dopušta korisniku da kontroliše tok podataka prema, od, te kroz svoj računar na način na koji on/ona to želi.

Dijagram Firewall Filter strukture:

• Firewall filteri se sastoje od niza IF-THEN pravilia - IF<condition(s)>THEN<action>

• Prilikom obrade ovi filteri procesiraju paket kroz pravila redom kako su navedena od vrha ka dnu popisa. Ako paket odgovara stanju (ili stanjima) pravila, izvršava se specificirana akcija za to pravilo, inače paket prelazi na sljedeće pravilo.

Firewall filter pravila su organizirana u tzv. Lancima. Postoje zadani i korisnički definirani (user-defined) lanciVrste zadanih lanca:1. ulaz (input) – procesirani paketi se šalju na ruter;2. izlaz (output) – procesirani paketi se šalju preko usmjerivača;3. naprijed (forward) - procesirani paketi se šalju kroz usmjerivač (ruter).

• Ukoliko je potrebno, novi (user-defined) lanci se mogu dodati.• Deafult lanci moraju imati pravilo koje preusmjerava tok paketa prema user-defined lancima, jer inače lanci nemaju default-ni promet koji bi odgovarao.

• Korisnički definisani lanci se koriste u cilju smanjenja prosječnog broja pravila kroz koja se prolazi - kako bi firewall učinili bržim, ili kako bi se optimizirala struktura firewall-a, ali i kako bi se njome lakše upravljalo.

12


Akcije

• Accept - prihvati paket, ne poduzima se nikakva akcija, tj. paket je prošao i nijedno više pravilo se ne primijenjuje na njemu;• Add-dst-to-address-list - dodaje odredišnu adresu IP paketa na popis adresa određen address-list parametrom;• Add-src-to-address-list - dodaje izvorišnu adresu IP paketa na popis adresa određen address-list parametrom;• Drop – „tiho” ispuštanje paketa (bez slanja ICMP reject poruke);• Jump - skok na lancu utvrđen vrijednošću jump-target parametra;• Log – svako podudaranje s ovom akcijom će dodati poruku sistemskom logu; • Passthrogh – ignorira se ovo pravilo i prelazi na sljedeće; • Reject – odbacuje se paket i šalje ICMP reject poruku; • Return – ponovo prolazi kontrolu u lancu, od mjestu na koje je skočio i • Tarpit - hvata i čuva dolazne TCP veze (odgovora sa SYN / ACK na ulazni TCP SYN paket)

Primjer podešavanja nekih od nabrojanih akcija:

13


14


15


16


17


18


19


20


Firewall filteri

Firewall filter, najjednostavnije rečeno, je alat za paketsko filtriranje. Firewall filteri se kako je već rečeno sastoje od niza IF-THEN pravila:

0) IF <condition(s)>THEN <action>1) IF <condition(s)>THEN <action>2) IF <condition(s)>THEN <action>

Ako paket ne ispunjava sve uvjete, tj. sva IF-THEN pravila, biće poslat na sljedeće pravilo.Ako paket ispuni sve uvjete, sva pravila, navedene aktivnosti će biti izvedena na njemu.

Firewall filter lanci

Može se postići direktan promet na korisnički definisanom lancu koristeći akciju jump, te vratiti se natrag, pomoću akcije return. Korisnici mogu dodati bilo koji broj lanaca. Korisnički definirani lanci se koriste za optimizaciju firewall strukture i čine ga pogodnijim za čitanje i rukovanje. Korisnički definirani lanci pomažu da se poboljšaju performanse , na način da se smanji prosječan broj obrade pravila po paketu.Navedimo primjer definisanja firewall pravila za hotspot interfejs:

Firewall – „Građevinska taktika“

Prihvatiti samo što je potrebno, baciti sve ostalo! Baciti sve nepotrebno, prihvatiti sve ostalo!

21


Connection Tracking (Priključak za praćenje)

Priključak za praćenje (ili Conntrack) sistem je srce firewall-a, on okuplja i upravlja informacijama o svim aktivnim vezama. Onemogućavanjem conntrack sistema izgubit će sefunkcionalnost NAT, kao i većina filterskih komandi i uvjeta. Svaki zapis conntrack tablice predstavlja dvosmjernu razmjenu podataka. Conntrack zauzima puno resursa procesora (CPU), te ga je, shodno tome, potrebno onesposobiti ukoliko ne koristite firewall.

22


Firewall održavanje

Napisati komentar za svako firewall pravilo, zbog boljeg rukovanja firewall-om. Pogledati brojač pravila, kako bi se utvrdila aktivnost datog pravila.Promjeniti poziciju pravila da se dobije neophodan redoslijed. Koristiti akcije "passthrough" za utvrđivanje iznosa prometa prije primjene bilo kakve radnje.Koristiti akciju "log" kako bi se prikupile detaljnije informacije o prometu.

Bitno je istaći da Firewall filteri ne filtriraju na MAC nivou komunikacije, te bi se trebale isključiti MAC-telnet i MACWinbox osobine barem na javnim interfejsima, kao i onemogućiti otkrivanje mreže.

Nadzor i upravljanje firewall-a

Moguće je:

nadgledati brojače paketa i bajta za određena firewall pravila

urediti pravila tako da se postigne minimalan prosječni broj ispunjenja pravila

dodati pravilo action=log da bi se vidjelo koji paketi (protokoli, adrese i portovi) zadovoljavaju ovo pravilo

koristiti pravilo action=passthough za dodavanje pravila brojanja uzoraka

koristiti praćenje konekcije te vidjeti trenutne konekcije

Firewall NAT struktura

Firewall NAT pravila su organizirana također, u lancima. Postoje dva zadana lanca:

dstnat – procesirani promet poslan prema ruteru i kroz ruter, prije nego što ga dijeli na "ulaz" i "prema naprijed" lanac firewall filtera.

srcnat – procesirani promet poslan iz usmjerivača i kroz usmjerivač, nakon što ga spaja sa "izlaz" i "prema naprijed" lanac firewall filtera.

Postoje i korisnički definirani lanci.

23


IP Firewall Dijagram

Firewall NAT

NAT firewall objekt je alat za prepisivanje paketskih informacija zaglavlja.Firewall NAT sastoji se od niza IF-THEN pravila:

0) IF <condition(s)>THEN <action>1) IF <condition(s)>THEN <action>2) IF <condition(s)>THEN <action>

Procedura oko ispunjavanja i neispunjavanja navedenih pravila, je analogna uopštenoj proceduri za sve firewall filtere.

Šta je uopšte Firewall NAT?

• NAT se koristi da osigura IP adresu kao i za translaciju do destionacijskih IP adresa. Prvi paket toka prolazi NAT pravilo, drugi paketi tog toka automatski su NAT-ovani s istim djelovanjem (akcijom) kao i prvi. • NAT je jedan od alata koji omogućuju korisniku da kontrolira tok podataka prema, od i kroz njegov računar na način na koji on to želi.

Poznate su sljedeće NAT akcije:• Accept - paket je prihvaćen i prošao je kroz NAT bez poduzimanja bilo kakve akcije • Jump - skok na lanac utvrđene vrijednosti jump-target argumenta• Return - povratak na prethodni lanac, gdje se skok dogodio • Log - loguje pakete koji se podudaraju • Passthrough - zanemaruje ovo pravilo i otići na sljedeće

24


• Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) • Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis)

Postoji i 6 novih akcija u NAT-u: • Dst-nat and redirect • Src-nat and masquarade • Netmap • Same

Src-nat and masquarade• Src-nat omogućava da se izvorišna adresa i port promjenu u lokalnu adresu i port rutera (maskiranje - masquerade) ili u neku drugu specificiranu adresu i port • Tipična primjena Src-nat je u slučaju kad se želi sakriti privatna adresa iza jedne ili više (public) eksternih adresa kako bi se omogućilo postojanje više hostova na jednoj adresi

Dst-nat and redirect• Dst-nat omogućava da se odredišna adresa i port promjenu u lokalnu adresu i port rutera (preusmjeravanje - redirect) ili u neku drugu adresu i port • Obično se koristi za pristup uslugama na privatnim mrežama sa javne adrese, odnosno javnim putem

Net-map and Same• Net-map - stvara statičko 1:1 mapiranje jednog koraka IP adresiranja u drugi• Same- daje određenom klijentu istu izvor/odredišnu IP adresu iz adresnog područja rezervisanog za svaku vezu (ili sve vrijeme, ako je navedena "not_by_dst" opcija)

Primjer podešavanja NAT pravila

25


Blokiranje određenih klijenata

Kao što semo već spominjali ranije, Mikrotik može blokirati određene klijente tako što ih dodaje ili uklanja u/iz određenih grupa. Međutim ovo neće raditi sve dok se odgovarajuća pravila ne pridruže svakoj od grupa.

Za svaku grupu moraju se dodati sljedeća pravila:

Pravilo za spriječavanje određenog saobraćajaPravilo za preusmjeravanje saobraćaja na stranicu koja pokazuje da je korisnik blokiran.

Ova pravila se dodaju u “IP->Firewall” prozoru:

Pravila za spriječavanje (“rezanje”) saobraćaja se dodaju klikom na “Filter Rules” i “+”.

Za dodavanje Nat pravila potrebno je kliknuti na “NAT” i „+”.

26


Spriječavanje kompletnog saobraćaja određene grupe

Slijedi primjer za grupu “mt_manual”. Potrebno je postaviti ovo pravilo za svaku grupu.

Konfigursati pravilo na način kako je pokazano ispod:

“General Tab” “Advanced Tab”

Ne unositi nikakve promjene na “Extra Tab” i “Statistics Tab”.

“Action Tab”

27


Ovo pravilo će blokirati sav TCP/IP saobraćaj kad se korisnikova adresa doda o grupu mt_manual.

Spriječavanje kompletnog saobraćaja i preusmjeravanje kompletnog HTML saobraćaja na usage stranicu.

Standardna usage stranica ja dostupna na accounting serveru. Ove stranice ili prikazuju web stranicu koja pokazuje vašu trenutnu upotrebu ili suspendiranu notifikaciju kombinovanu sa usage stranicom. Da bi se ovo postiglo, mora se dodati NAT pravilo u kombinaciji sa 2 filter pravila. Ponovo, kao primjer, ispod je navedena grupa “mt_manual”. Isto ovo trebs uraditi za svaku grupu.

Prvo pravilo je Firewall pravilo za osiguravanje da na DNS kapacitet klijenta ne utiče nijedno od ostalih pravila koja se odnose na svaku od grupa. Ovo sa zahtijeva jer bez rješavanje imena domene browser se neće moći pokrenuti.


28


“Action” tab:

Ne mijenjati “Extra” i “Statistics” tabove.

Drugo pravilo je Firewall pravilo za blokiranje kompletnog saobraćaja osim saobraćaja sa portova 80-81.


29


“Action” tab:

Ne mijenjati “Extra” i “Statistics” tabove.

Napomena: U ovom slučaju saobraćaj koji ide ka portovima 80 i 81 nije blokiran, jer će Nat pravilo proslijediti ovaj saobraćaj prema accounting serveru. Primijetiti da accounting server mora biti postavljen na port 81 u ovom slučaju.

Za postavljanje NAT pravila, dodati NAT pravilo kako je to prikazano na slikama ispod: “General Tab” “Advanced Tab”

30


Ne mijenjajte “Extra” i “Statistics” tabove.

“Action” tab:

Polje “To Addresses” podesiti da pokazuje na accounting server (u datom primjeru je to adresa 10.0.0.202) i “To Ports” podesiti da pokazuje na port na kojem accounting server “hostuje” svoj web server (port 81). Ako se koristi drugi port treba osigurati da Firewall pravilo ne blokira taj port.

Dva Filter pravila i NAT pravilo blokiraju sav sobraćaj koji nije HTML, a HTML saobraćaj prosljeđuju na accounting server.

31


Firewall Mangle

Firewall Mangle omogućava markiranje, tj. označavanje IP paketa posebnim oznakama.Te oznake se koriste od strane drugih objekata rutera, te služe za identifikaciju paketa.Osim toga, mangle objekt se koristi za mogućnost promijene nekih od polja IP zaglavlja, kao što je TOS (DSCP) i TTL polja.

Znači, Mangle je vrsta markera koji paketima daje posebne oznake u svrhu budućeg procesiranja. Mangle funkcionalnost se koristi da bi se modificirala neka polja u IP zaglavlju, kao što su npr. ToS polje (DSCP) ili TTL polje. Mnoge druge funkcije u RouterOS koriste ove oznake, npr. stabla redova čekanja i NAT. Mangle oznake postoje samo unutar rutera, one se ne prenose dalje kroz mrežu. Paketi se procesiraju prema datim pravilima prema redoslijedu kojim se tu i listaju od vrha do dna. Ako paket odgovara pravilu, izvodi se određena akcija nad tim paketom, inače paket “skače” do sljedećeg pravila.

Koncept

Napraviti parametar, kao što je izvorišna ili odredišna adresa i postaviti oznaku na taj paket. Za još naprednije podešavanje korist će se označavanje konekcije:

-Izvršiti označavanje konekcije prema određenom parametru.-Izvršiti značavanje paketa prema oznaci konekcije.

32


Vrste oznaka

Postoje dva načina označavanja paketa:Označavanje toka - označiti svaki paket prema odreeđenom pravilu.Označavanje konekcije - označiti konekciju (samo prvi paket)Označavanje rutiranja - označiti pakete prema politici

Mangle akcije

Accept - paket je prihvaćen i prošao je kroz NAT bez poduzimanja bilo kakve akcije.Jump – skok do lanca koji je određen vrijednošću argumenta mete skoka.Return – vrati se na prethodni lanac, sa kojeg je izvršen prethodni skokLog – propusti pakete koji se podudarajuPassthrough – ignoriši ovo pravilo i idi na sljedećeAdd-dst-to-address-list – dodaj destinacijsku adresu paketa specificiranoj adresnooj listi.Add-src-to-address-list– dodaj izvorišnu adresu paketa specificiranoj adresnooj listi.

Dodatne mangle akcije

Change MSS - promijeni maksimaknu veličinu segmentaChange ToS – promijeni ToSChange TTL – promijeni TTL

33

firewall realizacija na mikrotik ruteru

Education

navedenu adresnu listu

prikljuak za praenje

paket je prihvaen

lanac firewall filtera

lokalnu adresu

kroz ruter

sigurnosne stijene

statistics tabove