مجموعة رولات Mikrotik مهمة جدا لاصحاب الشبكات المستخدمة لسيرفر Mikrotik

اخر تحديث في يونيو 29, 2023 بواسطة حمدي بانجار

مجموعة رولات Mikrotik مهمة جدا لاصحاب الشبكات المستخدمة لسيرفر Mikrotik

أسعد الله اوقاتكم بكل خير ونرحب بكم مجددا في حضرموت التقنية .

اليوم نقدم لكم مجموعة رولات Mikrotik مهمة جدا لاصحاب الشبكات المستخدمة لسيرفر Mikrotik والتي ستحتاج إليها في شبكتك .

بسم الله نبداء :

مجموعة رولات Mikrotik مهمة
مجموعة سكربتات ورولات Mikrotik مهمة جدا لاصحاب الشبكات المستخدمة لسيرفر Mikrotik
  1.  الخدمات الآمنة وقواعد جدار الحماية :
    في بعض الأحيان ، في سجلات Mikrotik ، سترى أن بعض الـ ip القادم من WAN / LAN تحاول تسجيل الدخول إلى الـ Mikrotik الخاص بك باستخدام SSH ، Winbox إلخ.
    لتأمين جهاز التوجيه مايكروتك الخاص بك ، سيكون أفضل حل هو وضع قائمة بالشبكات التي ينبغي أن يسمح لها بالوصول إلى جهاز التوجيه إداريا ، وحظر كل شيء آخر.
    الرول التالي سوف يقوم بإنشاء قائمة بالعناوين التي سيكون لها عنوان IP لجهاز الإدارة الخاص بك . ثم سيسمح بالولوج لكل المنافذ مثل WINBOX و FTP و SSH و TELNET من قائمة العناوين هذه فقط ، ولن تتمكن بقية عناوين الـ ip من الوصول إلى هذه المنافذ أبدا.
    /ip firewall address-list
    add list=management-servers address=10.10.0.1
    #
    /ip firewall filter
    add chain=input src-address-list=management-servers protocol=tcp dst-port=21,22,23,80,443,8291 action=accept
    #
    add chain=input protocol=tcp dst-port=21,22,23,80,443,8291 action=drop


    ينصح بشدة تعطيل جميع الخدمات غير الضرورية على جهاز MikroTik Router خصيصا SSH / FTP والذي يستخدم بشكل كبير في الاختراقات , تأكد أيضًا من تغيير منافذ الخدمات الافتراضية إلى رقم آخر ، ويفضل أن تكون منافذ أعلى غير مستخدمة مثل 50000 أو أعلى أو بالمثل .

  2. كيفية منع الفيروسات VIRUS عن جهاز الراوتر الخاص بك :
    سنستخدم جدا الحماية فاير وول لتأمين المايكروتك من الفيروسات الضارة. قم أولاً بنسخ جميع محتويات الرول أدناه إلى المفكرة ، ثم اقرأها بعناية ، وأضف/ إزل  أي قواعد غير ضرورية.

    ##########################################################################
    #### Remove HASH # sign if you want to apply the required rule #
    #### Syed Jahanzaib / aacable@hotmail.com / http://aacabel.wordpress.com #
    ##########################################################################
    #
    /ip firewall filter
    add chain=input connection-state=established comment="Accept established connections"
    add chain=input connection-state=related comment="Accept related connections"
    add chain=input connection-state=invalid action=drop comment="invalid connections"
    add chain=input protocol=udp action=accept comment="UDP" disabled=no
    add chain=forward connection-state=invalid action=drop comment="invalid connections"
    #### ALLOW VPN (PPTP) CONNECTIONS TO MIKROTIK VPN SERVER
    #add action=accept chain=input disabled=no dst-port=1723 protocol=tcp
    #add action=accept chain=input disabled=no protocol=gre
    #
    #### TO BLOCK DNS ATTACK on WAN INTERFACE
    #/ip firewall filter
    #add chain=input action=drop dst-port=53 protocol=udp in-interface=ether1 # WAN INTERFACE
    #add chain=input action=drop dst-port=53 protocol=tcp in-interface=ether1 # WAN INTERFACE
    #
    #### TO BLOCK PROXY ACCESS PORT 8080 / ATTACK on WAN INTERFACE
    #add chain=input action=drop dst-port=8080 protocol=tcp in-interface=ether1 # WAN INTERFACE
    #
    #### TO BLOCK ICMP TRAFFIC EXCEPT FROM THE Management PC IP
    # Blocking ICMP Traffic, saves you from many headaches
    # add action=drop chain=input comment="PING REPLY" disabled=no protocol=icmp src-address=!10.10.0.4
    #
    #### TO BLOCK TRACEROUTE TRAFFIC
    #/ip firewall add action=drop chain=forward comment="Traceroute" disabled=no \
    # icmp-options=11:0 protocol=icmp
    # add action=drop chain=forward comment="" disabled=no icmp-options=3:3 \
    # protocol=icmp
    # add action=drop chain=input comment="Disable ICMP ping" disabled=no protocol=\
    # icmp
    #
    #### TO BLOCK COMMON VIRUS PORTS
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Blaster Worm"
    add chain=virus protocol=udp dst-port=135-139 action=drop comment="Messenger Worm"
    add chain=virus protocol=tcp dst-port=445 action=drop comment="Blaster Worm"
    add chain=virus protocol=udp dst-port=445 action=drop comment="Blaster Worm"
    add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="MyDoom"
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
    add chain=virus protocol=tcp dst-port=2283 action=drop comment="Dumaru.Y"
    add chain=virus protocol=tcp dst-port=2535 action=drop comment="Beagle"
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Beagle.C-K"
    add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="MyDoom"
    add chain=virus protocol=tcp dst-port=3410 action=drop comment="Backdoor OptixPro"
    add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
    add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
    add chain=virus protocol=tcp dst-port=5554 action=drop comment="Sasser"
    add chain=virus protocol=tcp dst-port=8866 action=drop comment="Beagle.B"
    add chain=virus protocol=tcp dst-port=9898 action=drop comment="Dabber.A-B"
    add chain=virus protocol=tcp dst-port=10000 action=drop comment="Dumaru.Y"
    add chain=virus protocol=tcp dst-port=10080 action=drop comment="MyDoom.B"
    add chain=virus protocol=tcp dst-port=12345 action=drop comment="NetBus"
    add chain=virus protocol=tcp dst-port=17300 action=drop comment="Kuang2"
    add chain=virus protocol=tcp dst-port=27374 action=drop comment="SubSeven"
    add chain=virus protocol=tcp dst-port=65506 action=drop comment="PhatBot, Agobot, Gaobot"
    add chain=forward action=jump jump-target=virus comment="jump to the virus chain"
    #
    #Drop port scanners
    add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
    add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
    add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
    add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
    add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
    add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
    add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
    add chain=input src-address-list="port scanners" action=drop comment="ping port scanners" disabled=no
    #Bruteforce login prevention
    #
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="ftp brute forcers"
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
    #
    #This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
    #
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="ssh brute forcers" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=10m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=10m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
    #
    #If you want to block downstream access as well, you need to block the with the forward chain:
    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="ssh brute downstream" disabled=no
  3. حجز عناوين عندما تتجاوز الحد المقرر لها بشكل غير طبيعي :<//ip firewall mangle
    add action=add-src-to-address-list address-list=Worm-Infected-p445 address-list-timeout=1h chain=prerouting connection-state=new disabled=no dst-port=445 limit=5,10 protocol=tcp
    li></ip firewall filter
    add action=drop chain=forward disabled=no dst-port=445 protocol=tcp src-address-list=Worm-Infected-p445
    add action=drop chain=forward disabled=no dst-port=445 protocol=tcp src-address-list=Worm-Infected-p445
    /li>تسمح الرول المذكور أعلاه 5 packets في الثانية مع وجود 10 burst مخصصة للاتصالات الجديدة. ستضع قاعدة mangle العناوين في قائمة عندما تتجاوز هذا الحد.
    وبهذه الطريقة لا يتم حظر الاستخدام الشرعي ، ولكن سيتم اكتشاف وتوقيف شيء مثل فيروس أو تروجان يرسل كميات كبيرة من البيانات بشكل غير طبيعي .
    إنه حل أكثر أناقة من حظر مجموعة من المنافذ لجميع المستخدمين. كما يعطيك قائمة من عناوين IP للمستخدمين التي تحتاج إلى تنظيف أجهزة الكمبيوتر الخاصة بهم.
  4.  كيفية حجب أكتشاف  Winbox Discovery + للحد من Winbox Access :
    لإخفاء mikrotik الخاص بك من الظهور في قائمة negibour لاكتشاف الـ WINBOX & لمنع الوصول الى  WINBOX من جهاز الكمبيوتر اخر والسماح له من الجهاز الخاص بك فقط استخدم ما يلي :
    /tool mac-server
    add disabled=yes interface=all
    /tool mac-server ping
    set enabled=no
    /ip firewall filter
    add action=drop chain=input comment="block mikrotik discovery" disabled=no dst-port=5678 protocol=udp
    add action=drop chain=input comment="ALL WINBOX REQUEST By MAC Address" disabled=no dst-port=20561 protocol=udp
    add action=drop chain=input comment="ALL WINBOX REQUEST EXCEPT FROM MY PC" disabled=no dst-port=8291 protocol=tcp src-address=!192.168.2.6
    يمكنك أيضًا تعطيل Network Neighbor Discovery على الواجهة التي يتصل بها مستخدمو الشبكة لديك . مثال :</ip neighbor discovery set ether1 discover=no/li>
  5. كيف تسمح VPN (PPTP) اتصالات لخادم Mikrotik VPN Server :
    يستخدم PPTP بروتوكول GRE ، يجب عليك السماح بـ IP PROTOCOL 47 (GRE) ، وليس منفذ TCP.
    منفذ TCP 1723 هو اتصال التحكم ، بينما النفق الفعلي هو GRE (البروتوكول 47).
    مثال :

    /ip firewall filter
    add action=accept chain=input disabled=no dst-port=1723 protocol=tcp
    add action=accept chain=input disabled=no protocol=gre
  6. حظر التورنت P2P :</ip firewall layer7-protocol
    add comment="P2P WWW web base cnoetent Matching / Zaib" name=p2p_www regexp=\
    "^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
    add comment="P2P DNS Matching / Zaib" name=p2p_dns regexp=\
    "^.+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
    /li></ip firewall mangle
    add action=mark-packet chain=postrouting comment="p2p download" disabled=no layer7-protocol=p2p_www new-packet-mark="p2p download" passthrough=no
    add action=mark-packet chain=postrouting disabled=no layer7-protocol=p2p_dns new-packet-mark="p2p download" passthrough=no
    /li></ip firewall filter
    add action=drop chain=forward comment="Block P2p_www Packets / Zaib" disabled=no layer7-protocol=p2p_www
    add action=drop chain=forward comment="Block P2p_dns Packets / Zaib" disabled=no layer7-protocol=p2p_dns
    add action=drop chain=forward comment="Block General P2P Connections , default mikrotik p2p colelction / zaib" disabled=no p2p=all-p2p
    /li>
  7. حظر عنوان ماك ادريس MAC للمستخدم :<
    /ip fir fi
    add chain=input action=drop src-mac-address=74:EA:3A:F2:AF:90
    add chain=forward action=drop src-mac-address=74:EA:3A:F2:AF:90
    /li>

مجموعة رولات Mikrotik مهمة

الى هنا نكون وصلنا الى نهاية موضوعنا اليوم

ذا اعجبك الموضوع لاتبخل علينا بمشاركتة على مواقع التواصل الاجتماعي ليستفيذ منه الغير,كما نتمنى اشتراككم في قناة الموقع على اليوتيوب بالضغط هنا وكذلك الاشتراك في مجموعة الفيس بوك بالضغط هنا والتيليقرام بالضغط هنا  وكذلك التسجيل بالموقع لتتمكنو من تحميل بعض الملفات الخاصة بالأعضاء كما يمكنكم رفع ملفاتكم مجانا على مركز ملفات حضرموت التقنية بالضغط هنا ولاتترددو في وضع أي استفسارات للرد عليكم .

دمتم بكل ود والسلام عليكم ورحمة الله وبركاتة  … حضرموت التقنية

حضرموت التقنية

حول حمدي بانجار

باحث ومهندس في مجالات شبكات ومقاهي الأنترنت - شغوف في عالم الانترنت والبرمجة للشبكات - في حضرموت التقنية شعارنا الدائم - أفعل الخير مهما أستصغرتة ! فأنك لاتدري اي عمل يدخلك الجنة ... فلا يفلح كاتم العلم ...طموحاتي ان يصبح الموقع مدرسة تعليمية للعلوم التقنية الجديدة ومساعدة الاخرين في حل مشكلاتهم ونرحب بمن يرغب الانظمام لنا يفيذ ويستفيذ ليكبر هذا الصرح التعليمي ويحقق الاستفاذة القصوى للغير ... أنظمامكم لأسرة الموقع وقناتها ومشاركتكم بالمواضيع الهادفه هو بحد ذاتة تشجيع لنا وللغير لاستمرارية هذا الصرح التعليمي

تحقق أيضا

فتح بورت في الميكروتك لتحويل طلبات منفذ معين الى جهاز داخلي ضمن شبكات الميكروتك

فتح بورت في الميكروتك لتحويل طلبات منفذ معين الى جهاز داخلي ضمن شبكات الميكروتك

اخر تحديث في مايو 27, 2023 بواسطة حمدي بانجار فتح بورت في الميكروتك لتحويل طلبات …