من نیاز دارم پورتهای web,ssh,sip را بر روی اینترنت داشته باشم تا هم گزارشات سیستم را کنترل کنم و هم امکان کانفیگ داشته باشم و هم مکالمات ویپ را داشته باشم
کانفیگ میکروتیک چگونه است؟
برای اینکه سرور ویپ شما به اینترنت دسترسی داشته باشد نیاز است پورت خدمات گیرنده در سمت سرور را چه مستقیم چه غیر مستقیم از اینترنت قابل دسترس نماییم
برای این منظور در میکروتیک عملیات زیر را انجام میدهیم
وارد منوی ip>firewall>nat شده و مانند منوی زیر پورت ها را فروراد می نماییم
در این مثال قرار است پورت وب را به سرور لوکال با آی پی 192.168.51.20 متصل نماییم
نوع cahin را dstnat استفاده می نماییمن
در قسمت src address آی پی مورد اعتماد ما که قرار است همیشه از این آی پی درخواست ها ارسال شود نوشته می شود که می تواند خالی بماند و در صورت خالی ماندن تمام آی پی ها اجازه دارند درخواست ارسال نمایند
در قسمت dst address در صورتی که چندین آی پی پابلیک روی روتر داشته باشید می توانید روی ای پی مورد نظر فورس نمایید که حتی در صورت خالی بودن نیز می تواند به هر ورودی به میکروتیک را با این شرط منطبق نماید
نکته: پیشنهاد میشود این فیلد را همیشه پر نمایید
در قسمت بعدی protocol را بسته به نوع سرویس انتخاب نمایید در این مثال پروتکل tcp برای وب می باشد
در قسمت بعدی dst port را بسته به سرویس مورد نظر که با توجه به سرویس می باشد را وارد می نماییم
در سربرگ action تنظیمات زیر لازم است
actionرا dst-nat تعرف می نماییم
و در قسمت to address آی پی لوکال سرور ویپ را وارد نموده و okرا میزنیم
نکته: در صورتی که نیاز باشد از بیرون با پورتی غیر از پورت دیفالت سیستم پورت فروارد انجام دهیم که از لحاظ امنیتی نیز بهتر می باشد
در همین مثال dst port را مثلا 880 تعریف می نماییم
و در to port پورت 80 را وارد می نماییم که به این عملیات pat نیز می گویند
همین عملیات را برای پورت 22نیز برای دسترسی به ssh انجام میدهیم
برای ارایه خدمات بر روی سرور ویپ و پروتکل sip بصورت default پورتهای 5060 جهت ارتباط سیگنالینگ sipو پورتهای 10000-20000 جهت ارسال مدیا بر روی پروتکل rtp باید فروراد شود
نکته: اکیدا توصیه میشود که از این کار بپرهیزید که سرور شما بشدت مورد خطر حمله قرار گرفته و گاهی اوقات هزینه های میلیونی به مجموعه شما وارد می نماید و در صورت نیاز به اینکار تنها اکتفا ننموده و حتما از متخصصین و فایروال های پیشرفته استفاده نمایید
ولی در این بحث بدلیل آموزشی بودن این عملیات توضیح داده می شود
پورت فروارد ssh بر روی پورت ۲۲
پورت فروارد sip بر روی پورت 5060
دقت نمایید که پروتکل udp در نظر گرفته شده است.
پورت فروارد rtp بر روی پورت های ۱۰۰۰۰ تا ۲۰۰۰۰
دقت نمایید که پروتکل udp در نظر گرفته شده است.
3 Likes
باتشکر ازشما
البته پورت های sip , rtp می بایست پروتکل udp باشند و همانطور که گفته شد بسیار خطرناک و در معرض اتک می باشد
1 Likes