NỘI DUNG
SƠ LƯỢC VỀ MIKROTIK
Mikrotik là một nhà sản xuất thiết bị mạng máy tính đến từ Latvia, được thành lập vào năm 1995 Sản phẩm chủ lực của công ty là hệ điều hành Mikrotik RouterOS, dựa trên nền tảng Linux, có thể được cài đặt trên phần cứng độc quyền của Mikrotik (routerboard) hoặc trên máy PC thông thường, biến chúng thành router Để sử dụng đầy đủ chức năng, người dùng cần mua bản quyền Mikrotik RouterOS cung cấp các tính năng như tường lửa, quản lý băng thông, VPN và nhiều chức năng khác của router.
Mikrotik RouterOS là hệ điều hành dành cho router, được phát triển trên nền tảng phần cứng RouterBoard của Mikrotik Nó có khả năng cài đặt dễ dàng trên máy tính, cho phép thiết bị hoạt động hiệu quả như một router.
Mikrotik RouterOS sở hữu nhiều tính năng nổi bật như firewall, định tuyến, quản lý băng thông, thiết lập VPN và truy cập mạng không dây, cùng với đầy đủ các chức năng cần thiết cho một router mạng hiệu quả.
RouterOS là hệ điều hành chuẩn dựa trên nền tảng Linux v2.6, nổi bật với khả năng cài đặt nhanh chóng và giao diện thân thiện, mang đến những tính năng chất lượng cho router.
Tính năng Mikrotik RouterOS là gì?
Hệ điều hành RouterOS hỗ trợ nhiều giao thức cấu hình giúp cho việc cấu hình trở nên linh động và dễ dàng hơn Như là:
Tường lửa tích hợp với các tính năng như: UPnP, NAT, QoS,
Cùng với lọc qua địa chỉ IP, giao thức IP, lớp mạng, các cổng, các thông tin phù hợp lớp 7
Tunnel với nhiều chức năng như: PPTP, PPPoE, Ipsec, L2TP, MPLS, EoIP, VLAN IEEE802.1q,…
IPv4 là RIP v1/v2, BGP v4, OSPF v2
IPv6 như OSPFv3, Ripng và BGP
Chức năng HotSpot Gateway giúp quản lý việc truy cập mạng Từ đó tùy chọn hình thức quảng cáo, truy cập.
Web Proxy: Transparent, HTTP, SOCKs,…
QoS: Kiểm soát băng thông, cấu hình lưu lượng, thiết lập cơ chế kiểm soát tốc độ
Công cụ hỗ trợ: Ping, RADIUS client and server, SSH, Traceroute, Telnet,…
MPLS: RSVP Traffic Engineering tunnels, Static Label binding cho IPv, MP-BGP dựa trên MPLS IP VPN, tự động phát hiện và báo hiệu dựa trên VPLS MP-BGP
3 Ưu điểm chọn Mikrotik RouterOS là gì?
– Hệ điều hành RouterOS bạn có thể: Firewall mạnh, chia Vlan, phân quyền user, Wifi Marketing, nhiều cổng LAN/WAN.
– Gộp băng thông lại với nhau nếu có nhiều đường Internet sử dụng Load Balancing.
– Price/Performance cực kì tốt đối với khả năng chịu tải cực kì khá, nhu cầu đơn giản.
– VPN Throughput Mikrotik cao tạo tiền đề setup VPN.
VPN cung cấp một hệ thống mạng gia đình an toàn và ổn định hơn, trong khi Wifi Marketing trên Mikrotik RouterOS được tăng cường nhờ vào các công cụ trực tuyến như Mikhmon.
– Phù hợp với các doanh nghiệp nhỏ (SMB).
Hình 3 : Cấu hình Router Mikrotik
Cấu hình cơ bản theo CODE
– Cấu hình PPPoE-Client với 2 đường truyền Internet với thông tin
Username/Password đường truyền như mô hình trên
– Thiết lập DNS của Google: 8.8.8.8, 8.8.4.4
– Tạo Bridge cho LAN, thêm cổng vào Bridge, đặt địa chỉ IP cho Bridge – Tạo Pool( dãy địa chỉ IP)
– Cấu hình DHCP-Server phân phát địa chỉ IP cho người dùng từ Pool đã được định nghĩa ở trên
– Cấu hình NAT với 2 đường truyền Internet
– Cấu hình Default-route và Failover với Distance
/interface pppoe-client add interface=ether1 name=pppoe-ether1 password=pppoe-01 user=pppoe-01 comment=ViettelTelecom add interface=ether2 name=pppoe-ether2 password=pppoe-02 user=pppoe-02 comment=FPTTelecom
/interface bridge add name=bridge-LAN01
/interface bridge port add bridge=bridge-LAN01 interface=ether9 add bridge=bridge-LAN01 interface=ether10
/ip address add address2.168.88.1/24 interface=bridge-LAN01 network2.168.88.0
/ip pool add name=LAN01 ranges2.168.88.2-192.168.88.254
/ip dhcp-server add address-pool=LAN01 interface=bridge-LAN01 name=dhcp-LAN01 disabled=no
/ip dhcp-server network add address2.168.88.0/24 gateway2.168.88.1
To configure NAT masquerading in your network, use the command "/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-ether1" and repeat for "pppoe-ether2." Additionally, set up routing by adding a default route with "/ip route add dst-address=0.0.0.0/0 gateway=pppoe-ether1 distance=1" and a secondary route for "pppoe-ether2" with distance 2 This setup ensures proper traffic management and redundancy for your internet connections.
2 Cân bằng tải 2 WAN với phương thức PCC( Per Connection Classifier)
Hình 4 : Cân bằng tải 2 WAN
Trong mạng nội bộ, Bridge là một thành phần quan trọng thuộc Layer 2 trong mô hình OSI, có nhiệm vụ vận chuyển traffic giữa các cổng trong bridge Do đó, traffic này không được xử lý bởi các Rule của Firewall, vốn hoạt động ở Layer 3 Để đảm bảo traffic trên bridge được quản lý theo các quy tắc của Firewall, cần kích hoạt thuộc tính use-ip-firewall.
1 /interface bridge settings set use-ip-firewall=yes
Kết nối Internet từ Router đến ISP sử dụng giao thức PPPoE, do đó cần kích hoạt thuộc tính use-ip-firewall-for-pppoe để cho phép lưu lượng truy cập đi qua các quy tắc trong Firewall.
1 /interface bridge settings set use-ip-firewall-for-pppoe=yes
– Bước 1: Các traffic của mạng nội bộ qua Router không cần xử lý bởi các
/ip firewall mangle add chain=prerouting dst-address2.168.88.0/24 in- interface=bridge-LAN01 actioncept
– Bước 2: Đánh dấu các kết nối từ Internet đi vào Router Các kết nối đi vào
The router, configured with chain=input, receives connections through pppoe-ether1 and pppoe-ether2, which are marked as conn-ether1 and conn-ether2, respectively.
To configure connection marking in a network setup, use the following commands: add a rule in the input chain for the pppoe-ether1 interface, marking connections with no previous marks and assigning a new connection mark labeled 'conn-ether1', ensuring passthrough is set to no Similarly, add another rule for the pppoe-ether2 interface, marking its connections with no previous marks and assigning the new connection mark 'conn-ether2', also with passthrough set to no.
Để đảm bảo các kết nối đi vào đúng WAN, cần thực hiện các kết nối ra tại chain=output Các kết nối được đánh dấu như conn-ether1 và conn-ether2 sẽ được khai báo với connection-mark, từ đó tạo ra các bảng định tuyến mới là route-ether1 và route-ether2 Những bảng định tuyến này sẽ giúp điều hướng các kết nối ra đúng WAN mà chúng thuộc về.
To configure routing in a network, use the command `/ip firewall mangle` to add rules for the output chain For traffic exiting through the `pppoe-ether1` interface, mark the connection with `conn-ether1` and apply a new routing mark `route-ether1` without passing through Similarly, for traffic through the `pppoe-ether2` interface, mark the connection as `conn-ether2` and set a new routing mark of `route-ether2`, also without passthrough.
Bước 4: Cân bằng tải bằng phương thức PCC, đánh dấu các kết nối từ mạng nội bộ đến cổng tiếp nhận bridge-LAN01 trên Router và ra Internet (dst-address-type=!local) Với PCC, các kết nối được phân chia thành hai nhóm khác nhau dựa trên src-address, dst-address, src-port và dst-port (both-addresses-and-ports) Những kết nối đã được đánh dấu sẽ không được xử lý tiếp ở quy tắc tiếp theo với passthrough=yes.
To effectively manage network traffic, use the following mangle rules in your firewall configuration: First, add a rule to the prerouting chain that marks connections with no existing mark, targeting non-local destination addresses on the bridge-LAN01 interface Utilize the per-connection classifier set to both addresses and ports with a value of 2/0 to assign a new connection mark labeled 'conn-ether1' Next, implement a similar rule for the second connection mark 'conn-ether2' by adjusting the classifier to 2/1, ensuring efficient traffic handling on your network.
Bước 5: Để tạo bảng định tuyến mới, các kết nối từ mạng nội bộ ra Internet được đánh dấu là conn-ether1 và conn-ether2.
7 ether1 và route-ether2 Các bảng định tuyến mới này được dùng để điều hướng các kết nối đi ra đúng WAN
SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE, FACEBOOK TRÊN ROUTER MIKROTIK
FACEBOOK TRÊN ROUTER MIKROTIK MikroTik Firewall là gì ?
Một công cụ bảo mật hiệu quả có khả năng chặn các trang web không mong muốn, rất hữu ích cho các quản trị viên mạng Họ có thể yêu cầu chặn những trang như Facebook, YouTube, hoặc các trang khiêu dâm để đảm bảo môi trường trực tuyến an toàn và phù hợp.
Để ngăn chặn truy cập vào các trang web không mong muốn, bạn chỉ cần thiết lập một Quy tắc tường lửa trên Bộ định tuyến MikroTik, giúp loại bỏ mọi kết nối đến các trang này.
Nhiệm vụ chính của quản trị viên MikroTik là duy trì Tường lửa hiệu quả và quản lý băng thông sau khi hoàn tất cấu hình cơ bản của Bộ định tuyến MikroTik Do đó, quản trị viên MikroTik cần trang bị kiến thức đầy đủ về MikroTik Firewall để thực hiện công việc này một cách hiệu quả.
MikroTik Firewall chủ yếu hoạt động bằng cách lọc lưu lượng truy cập, cho phép lưu lượng tốt và từ chối lưu lượng xấu Theo định nghĩa của tường lửa, việc phân loại này diễn ra thông qua ba sự kiện chính trong Bộ định tuyến MikroTik.
Lưu lượng truy cập vào Bộ định tuyến MikroTik,
Lưu lượng đang rời khỏi Bộ định tuyến MikroTik hoặc
Lưu lượng đang đi qua Bộ định tuyến MikroTik
Quy tắc tường lửa MikroTik là gì?
Quy tắc tường lửa MikroTik là một câu lệnh quan trọng dùng để cho phép hoặc chặn lưu lượng truy cập mạng MikroTik Firewall hoạt động dựa trên các quy tắc này, giúp quản lý lưu lượng hiệu quả Mỗi quy tắc tường lửa bao gồm hai phần chính.
Bộ so khớp hoặc bộ phận có điều kiện kiểm tra luồng lưu lượng truy cập dựa trên bất kỳ điều kiện nhất định nào và
Phần hành động đưa ra quyết định thực hiện bất kỳ hoạt động nào với điều kiện phù hợp
Chúng ta cần kiên quyết chống lại các lưu lượng truy cập xấu để bảo vệ mạng cục bộ Khi mạng cục bộ kết nối với mạng công cộng, nguy cơ bị xâm nhập từ bên ngoài luôn hiện hữu, có thể dẫn đến việc đánh cắp dữ liệu cá nhân, thay đổi hoặc phá hủy thông tin giá trị, thậm chí là xóa toàn bộ ổ cứng MikroTik Firewall là giải pháp hiệu quả để ngăn chặn và giảm thiểu những rủi ro bảo mật này, với nhiều tính năng tường lửa và khả năng giả mạo, giúp bảo vệ mạng riêng tư khỏi các mối đe dọa từ bên ngoài.
Có ba chuỗi được xác định trước trong quy tắc Tường lửa MikroTik
Các gói đăng nhập vào Bộ định tuyến MikroTik của bạn được xử lý qua chuỗi đầu vào, bất kể chúng đi qua giao diện nào Bất kỳ gói nào đến bộ định tuyến và có địa chỉ IP giao diện MikroTik làm địa chỉ đích sẽ được chuỗi đầu vào xử lý Tóm lại, khi địa chỉ IP đích là MikroTik Router, chuỗi đầu vào sẽ hoạt động.
Đầu ra của các gói tin được xử lý từ Bộ định tuyến MikroTik và được chuyển qua một trong các giao diện của MikroTik Khi gói tin rời khỏi bộ định tuyến, nếu địa chỉ IP của giao diện nào đó được sử dụng làm địa chỉ IP nguồn, gói tin đó sẽ được xử lý bởi chuỗi đầu ra Tóm lại, khi địa chỉ của Bộ định tuyến MikroTik được coi là địa chỉ nguồn của gói tin, điều này cho thấy hoạt động của chuỗi đầu ra đang diễn ra.
Chuyển tiếp xử lý các gói tin qua Bộ định tuyến MikroTik không đóng vai trò là nguồn hay đích Khi gói tin di chuyển qua Bộ định tuyến MikroTik, quá trình này được xem là hoạt động của chuỗi chuyển tiếp.
Sơ đồ dưới đây minh họa quy trình xử lý gói tin trong Bộ định tuyến MikroTik, bao gồm các bước đầu vào, đầu ra và chuỗi chuyển tiếp.
Hình 27 : Sơ đồ luồng gói Mikrotik
Tại sao giao thức Layer7
MikroTik Firewall có khả năng chặn mọi trang web thông qua địa chỉ nguồn, địa chỉ đích và cả Giao thức Layer7 Giao thức Layer7 sử dụng Perl Regex để đối sánh từ khóa trong URL Khi từ khóa khớp, Quy tắc bộ lọc sẽ thực hiện hành động chặn Để ngăn chặn các trang web như Facebook, YouTube, chúng ta sẽ tạo Giao thức Layer7 với Regex và áp dụng nó trong Quy tắc lọc.
Chức năng của Layer 7 Firewall
Lớp 7 cung cấp các tính năng và dịch vụ có thể được sử dụng bởi các chương trình phần mềm ứng dụng người dùng để truyền dữ liệu
Đó là giao diện người dùng và không tự cung cấp các ứng dụng có giao diện người dùng đồ họa
Các lệnh gọi và câu trả lời API được bao gồm trong lớp này và HTTP và SMTP là các giao thức chính được sử dụng
Sơ lược về các phương pháp chặn Web của Router Mikrotik
Đối với các quản trị viên mạng và hệ thống, việc chặn truy cập vào các website mang lại nhiều lợi ích quan trọng Nó không chỉ giúp hạn chế các trang web theo yêu cầu của ban giám đốc mà còn giảm thiểu lưu lượng truy cập đến những trang không cần thiết cho công việc, chẳng hạn như các trang xem phim hay nghe nhạc.
Đầu tiên ta enable web proxy ở trong mục ip – web proxy
Các công ty thường sử dụng proxy web trong suốt (Transparent web proxy) để người dùng không nhận biết rằng họ đang sử dụng proxy và bị giám sát Điều này giúp người dùng không cần phải cấu hình các thông số proxy trong trình duyệt web của mình.
Ta config thêm vào Firewall – Nat ip firewall nat /add chain=dstnat action=redirect to-ports80 protocol=tcp dst-port
Sau đó để block website chúng ta vào phần IP – Web proxy chọn access
Hình 30: Kết quả chặn thành công
Chúng ta sẽ sử dụng tính năng route của router để block website đó
Nhược điểm của cách này là ko hỗ trợ domain, và sẽ block tất cả “traffic” tới IP đó
Ở đây mình thử block website vnexpress.net bằng cách block ip của trang web đó, ta sử dụng nslookup để coi ip của trang web
Hình 31 : Block website bằng cách block IP
Ta vào IP – Route tạo 1 chain như sau
Dst add: ip trang web muốn block
Gateway: cổng đi ra internet
Ở đây ta sử dụng Firewall để block tất cả traffic sử dụng port 80,443 có nội dung là “vnexpress”
Chúng ta vào ip – firewall – filter
Hình 33 : Dùng Firewall để block tất cả trang Web vnexpress
src add: địa chỉ ip mạng Lan mà ta muốn bị chặn bởi content vnexpress
Firewall
Ta sẽ chặn website ở layer 7 application
Đầu tiên ta phải tạo 1 chain, vào ip – firewall – layer 7 protocols
Như vậy là ta đã chặn đc vnexpress
Nhược điểm của việc chặn kiểu layer 7 là router phải hoạt động với công suất cao để tìm kiếm các gói dữ liệu chứa thông tin đã được nhập trong Regexp.
Chặn Facebook, YouTube với Quy tắc lọc MikroTik
Chúng ta sẽ tạo Quy tắc lọc để chặn các trang web như Facebook, YouTube hoặc bất kỳ trang nào khác mà bạn mong muốn Quy trình tạo Quy tắc bộ lọc này bao gồm hai bước chính.
Bước 1: Chặn trang web Facebook cho tất cả những ai kết nối với mạng cục bộ
Bước 2: Tạo giao thức layer7 để chọn trang web mong muốn và
Bước 3: Tạo quy tắc tường lửa để chặn trang web đã chọn đó
Bước 1: Chặn trang web Facebook cho tất cả những ai kết nối với mạng cục bộ
Đầu tiên, trước tiên chúng ta kiểm tra xem trang Facebook có thể mở được hay không
Hình 36 : Kiểm tra website được yêu cầu chặn
Kiểm tra địa chỉ IP của ứng dụng không thể mở Facebook
Bước 2: Tạo giao thức Layer7 để chọn trang web mong muốn
Trước khi thiết lập Quy tắc lọc, cần tạo Giao thức Layer7 với Regex, vì Giao thức này sẽ được sử dụng để khớp với các từ khóa trong URL Dưới đây là hướng dẫn chi tiết về cách tạo Giao thức Layer7 với Regex.
Mở winbox và đăng nhập bằng thông tin đăng nhập của bạn
Đi tới IP> Tường lửa và sau đó nhấp vào tab Giao thức lớp7
Hình 38 : Tab giao thức lớp 7
Nhấp vào PLUS SIGN (+) để tạo Giao thức Layer7 mới với
Regex Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện
Hình 39 : C ử a s ổ Giao th ứ c T ườ ng l ử a L7 m ớ i s ẽ xu ấ t hi ệ n
Đặt một cái tên có ý nghĩa như Facebook trong hộp nhập Tên
Bây giờ hãy đặt ^ + (Facebook.com) * $ Regex vào trường nhập văn bản Regex nếu bạn muốn chặn Facebook
Hình 40: Nhập văn bản Regex
Bây giờ hãy nhấp vào nút Apply và OK
Tương tự, nếu bạn muốn chặn YouTube, hãy thực hiện bước 4, 5 và 6 nhưng đổi facebook.com bằng youtube.com như ^ + (Youtube.com)
* $ Bạn có thể đặt bất kỳ từ khóa nào, , v.v mà bạn muốn chặn trong ngoặc đơn trong Regex này
Hình 41 : Giao thức lớp 7 Regex để chặn các trang Web
Chúng tôi đã phát triển các Giao thức Layer7 để áp dụng trong Quy tắc Bộ lọc, nhằm chặn các trang web mà chúng tôi không mong muốn Tiếp theo, chúng tôi sẽ tiến hành thiết lập Quy tắc lọc tường lửa của mình.
Bước 3: Tạo Quy tắc Bộ lọc để Chặn Trang web đã Chọn với Giao thức Layer7
Sau khi hoàn tất việc tạo Giao thức Layer7, chúng ta sẽ tiến hành thiết lập Quy tắc lọc nhằm chặn các trang web không mong muốn Bài viết này sẽ hướng dẫn chi tiết các bước cần thiết để tạo Quy tắc bộ lọc, giúp bạn chặn bất kỳ trang web nào theo ý muốn.
Để tạo Quy tắc Bộ lọc mới, hãy nhấp vào tab Quy tắc Bộ lọc và chọn biểu tượng CỘNG (+) Ngay lập tức, cửa sổ Quy tắc tường lửa mới sẽ xuất hiện.
Trong tab Chung, chọn chuyển tiếp từ menu thả xuống Chuỗi
Hình 42 : chọn chuyển tiếp từ menu thả xuống Chuỗi
Chúng tôi duy trì nguyên địa chỉ Src và Dst để chặn tất cả người dùng Nếu bạn muốn chặn một người dùng cụ thể, hãy nhập địa chỉ IP của họ vào hộp nhập Src Đối với việc chặn một khối IP, hãy đặt khối IP đó vào hộp nhập địa chỉ Src.
Hình 43 : Đặt khối IP vào Src
Nhấp vào menu thả xuống Giao thức và chọn tcp từ menu thả xuống Giao thức
Đặt cổng 80,443 trong Dst Hộp nhập cổng Giá trị phải được phân tách bằng dấu phẩy
Nhấp vào tab Advanced và sau đó chọn Giao thức Layer7 mà bạn đã tạo trước đó từ menu thả xuống Giao thức Layer7
Bây giờ hãy nhấp vào tab Action và chọn thả từ trình đơn thả xuống Action
Hình 44 : Thao tác trên tab Action
Nhấp vào nút Apply và OK
Tương tự, bạn có thể tạo Quy tắc lọc khác để chặn bất kỳ trang web nào khác
Hình 45 : Tương tự cho trang web khác
Bây giờ hãy thử cài đặt kiểm tra thành công những gì không
Hình 47 : Truy cập kiểm tra
Ngoài ra, hãy kiểm tra xem các trang web khác có hoạt động tốt không ngoài Facebook
Hình 48 : Kiểm tra các web khoog block
Chặn Facebook trong MikrotikQuy tắc lọc để chặn trang web
Bộ lọc Quy tắc được sử dụng để chặn người dùng truy cập vào một trang web cụ thể Tuy nhiên, nếu cần cho một người dùng cụ thể truy cập trang web này, bạn cần tạo một Quy tắc bộ lọc khác, trong đó địa chỉ IP của người dùng phải được chỉ định trong địa chỉ nguồn và hành động Bộ lọc sẽ được chấp nhận.
Tóm tắt cách chặn Facebook và Youtube sử dụng “7 layer Firewall”
1 Mở Winbox và kết nối với bộ định tuyến của bạn
1.1 Trên menu bên trái, chọn IP-> Tường lửa
Hình 49 : Thao tác vào Firewall
2 Trên Firewall Windows, nhấp vào tab "Giao thức lớp 7"
Hình 50 : Cửa sổ Firewall xuất hiện
3.1 Trong trường "Name", nhập "block"
3.2 Trong trường Regex, đặt văn bản bên dưới Bạn có thể thêm các trang web khác bằng cách nhập Tên miền và phân tách chúng bằng dấu
Hình 51 : Nhập Name và Regexp cần chặn
4 Nhấp vào tab "Quy tắc Bộ lọc" trong cửa sổ "Tường lửa"
4.1 Trên tab "General", đảm bảo rằng chuỗi "forward" được chọn
Hình 52 : Thao tác tiếp theo
5 Trên tab "Advanced", trong "Giao thức Lớp 7", chọn mục "Block" mà chúng ta đã tạo trước đó
Hình 53 :Thao tác trên tab Advanced
6 Trên tab "Action", chọn từ chối làm hành động, sau đó nhấp vào
Hình 54 : Thao tác trên tab Action
Một cách khác để thiết lập tính năng chặn là nhập (hoặc dán) thông tin sau vào cửa sổ dòng lệnh:
