تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

اخر تحديث في مايو 27, 2023 بواسطة حمدي بانجار

تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

يحتوي جهاز التوجيه MikroTik على الكثير من الميزات التي يمكن لمسؤول الشبكة من خلالها تصميم شبكته كما يحلو له.

كمسؤول للشبكة ، قد تحتاج في بعض الأحيان إلى السماح بالوصول إلى الإنترنت باستخدام بعض الأجهزة المحددة. إذا حاولت أجهزة أخرى الوصول إلى الإنترنت ، فسيتم رفضها بواسطة جهاز التوجيه الخاص بك.

على سبيل المثال :

لقد قمت بتكوين شبكة بسيطة مثل الرسم البياني أدناه :

تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTikتقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

في هذه الشبكة ، قمت بتكوين WAN و LAN و Gateway و DNS و NAT. كما أنك قمت بإنشاء queue rules للحد من عرض النطاق الترددي على أساس عنوان IP الآن :-

إذا كان لديك مستخدم خبير يعرف أن الشبكة يمكن أن تغير عنوان IP الخاص به ويمكنه استهلاك نطاق ترددي غير محدود لأنك قد قمت بإنشاء قواعد صفوف لعناوين IP محددة وأيضاً لديك NAT لجميع IP blocks. فمن الواضح أن الشبكة ليست ذات تصميم أفضل وأكثر أمانًا.

لهذا كيف يمكنك منع هذا الوصول غير المصرح به في شبكتك؟

لا تقلق جمع  MikroTik الكثير من الميزات التي يمكنك من خلالها منع هذا النوع من الوصول غير المصرح به في جهاز التوجيه الخاص بك.

وفي هذه المقالة ، سأعرض عليك بعض الاستراتيجيات التي يمكنك من خلالها حظر الوصول غير المصرح به في شبكتك بسهولة.

الحد من الوصول إلى الإنترنت في MikroTik Router :

بصفتك مسؤول شبكة ، فأنت تريد غالبًا حظر الوصول غير المصرح به في شبكتك. لهذا فأن تطبيق بعض الاستراتيجيات في جهاز التوجيه MikroTik الخاص بك ، سيمكنك بسهولة من منع الوصول غير المصرح به في شبكتك.

يمكن تقسيم هذه الاستراتيجيات إلى أقل من نوعين :

  • استراتيجية Single IP NAT وتناولناها بموضوع سابق ايضا للاطلاع من هنا
  • الوصول إلى الإنترنت على أساس عنوان MAC

استراتيجية Single IP NAT :-

تعد استراتيجية NAT IP واحدة من أكثر الطرق فعالية لمنع الوصول إلى الإنترنت من خلال جهاز التوجيه الخاص بك.

عادةً ، تسمح بالوصول إلى كافة IP blocks أو IP block محددة بواسطة تكوين NAT. ولكن باستخدام استراتيجية Single IP NAT ، يمكنك السماح بالوصول إلى الإنترنت إلى عنوان IP محدد.

لذا ، إذا أراد أي مستخدم استخدام الإنترنت ، فيجب عليه إبلاغك بالسماح له بذلك. وإلا فلن يتمكن من الوصول إلى الإنترنت من خلال جهاز التوجيه الخاص بك. وقد نوقشت استراتيجية IP واحد NAT في مقالتي السابقة من هنا. اقض بعض الوقت لدراسة هذه المقالة وحاول تطبيق استراتيجيةSingle IP NAT في شبكتك.

الوصول إلى الإنترنت على أساس عنوان MAC :

MAC (Media Access Control) هو هوية فريدة لأية أجهزة IP. لذا ، باستخدام عنوان MAC ، يمكنك بسهولة منع الوصول غير المصرح به إلى جهاز التوجيه الخاص بك. يوفر جهاز التوجيه MikroTik طرقًا مختلفة يمكنك من خلالها بسهولة تصفية عنوان MAC لأي جهاز IP والسماح بالوصول إلى هذا الجهاز عبر الإنترنت.

عادة ، يمكن تصفية عنوان MAC بثلاث طرق في جهاز التوجيه MikroTik ويمكن أن يكون الوصول إلى الإنترنت محدودًا.

  • الوصول إلى الإنترنت على أساس عنوان MAC مع PPPoE server
  • الوصول إلى الإنترنت على أساس عنوان MAC مع خادم DHCP ثابت
  • ربط عنوان MAC على واجهة interface

الوصول إلى الإنترنت على أساس عنوان MAC مع PPPoE server :

يساعد PPPoE server على تعيين عنوان IP لأي مستخدم باستخدام اسم المستخدم وكلمة المرور. حيث يستخدم PPPoE server بشكل شائع في شبكة مزود خدمة الإنترنت المحلية.

يمكن تطبيق تصفية عناوين MAC بسهولة في PPPoE server أثناء إنشاء PPPoE secret الذي يعني اسم مستخدم وكلمة مرور العميل. إذا تم تطبيق تصفية عناوين MAC في PPPoE server ، فيجب مطابقة اسم المستخدم وكلمة المرور وعنوان MAC للحصول على عنوان IP ومعلومات IP الأخرى من PPPoE server.

الوصول إلى الإنترنت على أساس عنوان MAC مع خادم DHCP ثابت :-

يعد خادم DHCP طريقة سهلة أخرى لتعيين عنوان IP للمستخدم ومعلومات IP الأخرى. من الواضح أن تهيئة خادم DHCP العادية ليست آمنة لشبكتك.

لذلك ، يجب عليك تطبيق استراتيجية خادم DHCP ثابتة حيث يجب توفير عنوان MAC للحصول على عنوان IP من خادم DHCP. لكن DHCP الثابت فقط ليس قادرًا تمامًا على تأمين الشبكة الخاصة بك لأنه إذا قام أي مستخدم خبير بتعيين عنوان IP يدويًا ، فسيتمكن من الوصول إلى الإنترنت من خلال جهاز التوجيه الخاص بك.

لذلك ، يجب عليك تطبيق استراتيجية IP NAT الفردية واستراتيجية خادم DHCP الثابتة في نفس الوقت للحصول على شبكة أكثر أمانًا.

ربط عنوان MAC على واجهة interface :-

يعد ربط عنوان MAC على الواجهة interface طريقة أخرى للحد من الوصول إلى الإنترنت استنادًا إلى عنوان MAC. يستخدم تجليد عنوان MAC خاصية ARP (بروتوكول تحليل العنوان) لواجهة للرد على أي جهاز IP. ARP هو بروتوكول يتم استخدامه لتعيين عناوين شبكة IP لعناوين الأجهزة أو عنوان MAC لأي جهاز IP. يشير مصطلح “تحليل العنوان” إلى عملية البحث عن عنوان جهاز أو عنوان MAC الخاص بالكمبيوتر في الشبكة.

هناك أربعة أنواع من أوضاع ARP على واجهة interface في جهاز MikroTik router. هؤلاء هم:

  • Disabled: إذا تم إيقاف تشغيل ميزة ARP على الواجهة interface ، على سبيل المثال ، arp = disabled ، لا يتم الرد على طلبات ARP من العملاء بواسطة جهاز التوجيه. لذلك ، يجب إضافة إدخال arp ثابت يعني عنوان IP وعنوان MAC لواجهة جهاز التوجيه الخاص بك إلى محطات عمل العميل. على سبيل المثال ، إذا كان أي مستخدم يستخدم محطة عمل Windows ، فيجب عليه استخدام أمر arp أدناه وإلا فلن يتمكن من الوصول إلى الإنترنت من خلال جهاز التوجيه الخاص بك.
C:\> arp -s 10.5.8.254  00-aa-00-62-c6-09
  •  Enabled : يتم تمكين هذا الوضع بشكل افتراضي على جميع الواجهات interface . سيتم اكتشاف ARPs تلقائيًا وسيتم إضافة إدخالات حيوية جديدة إلى جدول ARP إذا ظل هذا الوضع ممكّنًا. 
  • Proxy-arp: يُستخدم هذا الوضع للاستجابة إلى طلب arp بالنيابة عن جهاز توجيه آخر. هذا الوضع شائع الاستخدام في اتصال VPN. 
  • Reply Only : إذا تم تعيين خاصية arp للرد فقط على أي واجهة interface ، فسيتم الرد على جهاز التوجيه فقط على طلبات ARP. في هذه الحالة ، يجب عليك إضافة عنوان MAC وعنوان IP في جدول ARP وإلا لن يحصل المستخدم على الوصول إلى الإنترنت على الرغم من أنه يقوم بتعيين عنوان IP يدويًا في محطة العمل الخاصة به.

لذا ، إذا قمت بتعيين ARP فقط على أي وضع واجهة interface ، يمكنك تصفية عناوين MAC المستخدم على هذه الواجهة لأنه حتى تقوم بتعيين عنوان MAC وعنوان IP في جدول ARP ، لن يتمكن أي مستخدم من الوصول إلى الإنترنت عبر جهاز التوجيه الخاص بك على الرغم من وجود أي خبير يقوم بتعيين عنوان IP يدويًا في محطة العمل الخاصة به.

تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

الآن السؤال هو :

كيف يمكنك تطبيق استراتيجية ربط عنوان MAC في جهاز التوجيه الخاص بك MikroTik.

لا داعي للقلق ، في بقية هذه المقالة سأوضح لك الخطوات المناسبة لتطبيق استراتيجية ربط عنوان MAC في جهاز التوجيه MikroTik.

خطوات لتطبيق استراتيجية ربط عنوان MAC في MikroTik Router :

يمكن تقسيم التكوين الكامل لتطبيق استراتيجية ربط عنوان MAC في جهاز التوجيه MikroTik إلى أقل من ثلاث خطوات :

  • التكوين الاساسي لجهاز MikroTik router
  • تمكين الرد فقط على ARP على واجهة LAN interface
  • تعيين عنوان MAC إلى عنوان IP في جدول ARP

الخطوة الاولى : التكوين الاساسي لجهاز MikroTik router :

قبل الذهاب إلى تطبيق استراتيجية ربط MAC ، يجب عليك إجراء الاعداد الأساسي لجهاز التوجيه MikroTik.

يعني الاعداد  الأساسي : تعيين عناوين IP الخاصة بـ WAN و LAN و DNS وتكوين Gateway و NAT.

وأوضحنا سابقا التكوين الأساسي باستخدام winbox في مقال آخر. إذا كنت مستخدمًا جديدًا لـ MikroTik ، اقض بعض الوقت بمشاهدة مقالة الاعداد بقسم الوينبوكس واستكمل الاعداد الأساسي لجهاز التوجيه MikroTik. ثم قم بالخطوة التالية.

الخطوة الثانية : تمكين الرد فقط على ARP على واجهة LAN interface :

بعد إكمال التكوين الأساسي ، تحتاج إلى تطبيق وضع الرد ARP فقط على واجهات LAN الخاصة بك.

لتمكين وضع الرد فقط reply-only ، اتبع الخطوات التالية بعناية :

  • انقر على القائمة Interfaces ، ثم انقر نقرًا مزدوجًا فوق واجهة LAN الخاصة بك. نافذة خاصية Interfaces ستظهر الآن.
  • من هذه النافذة ، اختر reply-only من القائمة المنسدلة ARP ، ثم انقر فوق الزر تطبيق و موافق.

الآن جهاز التوجيه الخاص بك جاهز للرد فقط على تلك الأجهزة التي تم تعيين عنوان MAC لها في جدول ARP.

لذا ، إذا كنت تريد السماح لأية أجهزة للوصول إلى الإنترنت ، فيجب إدخال عنوان MAC الخاص بها يدويًا في جدول ARP.

في الخطوة التالية ، سأظهر لك كيفية وضع إدخال ARP ثابت في جدول ARP.

الخطوة الثالثة :تعيين عنوان MAC إلى عنوان IP في جدول ARP :

بعد تمكين reply only من وضع ARP ، يجب عليك إدخال عناوين MAC الخاصة بأجهزة LAN الخاصة بك في جدول ARP وإلا لن تتمكن الأجهزة من الوصول إلى الإنترنت.

اتبع خطواتي التالية بعناية لإدخال عنوان MAC وعنوان IP المرتبط بأي جهاز في جدول ARP :

  • اذهب الى IP > ARP ستظهر الان نافذة ARP
  • انقر فوق إضافة زر جديد (علامة الجمع) من هذه النافذة. ستظهر نافذة ARP جديدة.
  • ضع عنوان IP المطلوب في مربع إدخال عنوان IP وعنوان MAC لأي جهاز مستخدم في مربع إدخال عنوان MAC ثم اختر واجهة LAN الخاصة بك من القائمة المنسدلة Interface. انقر فوق الزر “تطبيق” و “موافق” الآن.
  • قم بالخطوات المذكورة أعلاه لجميع أجهزة الشبكة المحلية الخاصة بك.

الآن جهاز التوجيه الخاص بك MikroTik جاهز تماما لتصفية عنوان MAC.

لذلك ، لا يمكن لأي مستخدم لشبكتك الحصول على الإنترنت إلا إذا سمحت لهم بإدخال عنوان MAC في جدول ARP.

تمت مناقشة طرق مختلفة لتقييد الوصول إلى الإنترنت استناداً إلى عنوان MAC في جهاز التوجيه MikroTik في هذه المقالة.

آمل ، ان تكون الآن قادر على منع أي وصول غير مصرح به في شبكتك عن طريق تصفية عنوان MAC مع جهاز التوجيه MikroTik.

ومع ذلك ، إذا واجهت أي مشكلة في تصميم شبكة تصفية لعناوين MAC مع جهاز التوجيه MikroTik ، فلا تتردد في مناقشة التعليق أو الاتصال بي من صفحة الاتصال. سأبذل قصارى جهدي للبقاء معك.

أنتهى … تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

الى هنا نكون وصلنا الى نهاية موضوعنا اليوم تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik

والذي نتمنى ان ينال رضاكم واعجابكم والى اللقاء في موضوع جديد شيق ورائع من حضرموت التقنية

وحتى ذلك الحين لاتنسو الاهتمام بصحتكم وحفظكم الله

اذا اعجبك الموضوع تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik لاتنسى ان تقوم بمشاركتة تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik على مواقع التواصل الاجتماعي ليستفيذ منه الغير,كما نتمنى اشتراككم في قناة الموقع على اليوتيوب بالضغط هنا

وكذلك الاشتراك في مجموعة الفيس بوك بالضغط هنا والتيليقرام بالضغط هنا  وكذلك التسجيل بالموقع لتتمكنو من تحميل بعض الملفات الخاصة بالأعضاء كما يمكنكم رفع ملفاتكم مجانا على مركز ملفات حضرموت التقنية بالضغط هنا

ولاتترددو في وضع أي استفسارات بالمنتديات للرد عليكم تقييد الوصول إلى الإنترنت على أساس عنوان MAC الاجهزة المتصلة في MikroTik .

دمتم بكل ود والسلام عليكم ورحمة الله وبركاتة  … حضرموت التقنية

حول حمدي بانجار

باحث ومهندس في مجالات شبكات ومقاهي الأنترنت - شغوف في عالم الانترنت والبرمجة للشبكات - في حضرموت التقنية شعارنا الدائم - أفعل الخير مهما أستصغرتة ! فأنك لاتدري اي عمل يدخلك الجنة ... فلا يفلح كاتم العلم ...طموحاتي ان يصبح الموقع مدرسة تعليمية للعلوم التقنية الجديدة ومساعدة الاخرين في حل مشكلاتهم ونرحب بمن يرغب الانظمام لنا يفيذ ويستفيذ ليكبر هذا الصرح التعليمي ويحقق الاستفاذة القصوى للغير ... أنظمامكم لأسرة الموقع وقناتها ومشاركتكم بالمواضيع الهادفه هو بحد ذاتة تشجيع لنا وللغير لاستمرارية هذا الصرح التعليمي

تحقق أيضا

Vlan mikrotik

Guest – VLAN – WiFi كيفية اعداد Guest VLAN WiFi في الميكروتك لحمايتة من الاختراقات

اخر تحديث في مايو 27, 2023 بواسطة حمدي بانجار Guest – VLAN – WiFi كيفية …