70٪ تخفیف ویژه جشنواره تابستانه توسینسو
پایان تخفیف تا:
مشاهده دوره‌ها
0

اینترنت دادن به کلاینت ها با استفاده از mangle

سلام

میخواستم بدونم وقتی رول masqurade مینویسیم همه کلاینت های موجود در رنج آی پی مشخص شده اینترت بگیرند.

میخواستم بدونم راهی هست که بشه با mangle فقط به کلاینت هایی که ما میخواهیم اینترنت بدیم یا خیر؟(یک بار در یک مجموعه دیده بودم که این کار را کرده اند)

پرسیده شده در 1397/11/22 توسط

7 پاسخ

0

سلام دوست عزیز

بله شدنی هست

باید کانکشن و پکت های سیستم هایی که می خواهید بهشون اینترنت بدید رو با Mangle علامت گذاری کنید بعد یه Default Route واسه اون پکت های علامت گذاری شده بنویسید

پاسخ در 1397/11/22 توسط
1

سلام مجتبی عزیز !

این برای اینکه یک اینترنت داشته باشم جواب میده ولی وقتی دوتا اینترنت داشته باشم نمیشه !

پاسخ در 1397/11/23 توسط
0

بهتره که از arp استفاده کنم یا از mangle برای ان کار ؟

پاسخ در 1397/11/22 توسط
0

نوید جان اگه کمی به زبان ساده تر (یا در صورت امکان با عکس ) توضیح دهید ممنون میشم

پاسخ در 1397/11/22 توسط
0

من خودم Mangle رو انتخاب می کنم، بعدش مانور بیشتری میتونید روی بسته ها بدید، فقط باید کاری کنید که کاربر نتونه با تغییر آدرس IP خودش قوانین رو دور بزنه، به نظر من بهتره واسه کسانی که می خواهید بهشون اینترنت بدید یه Net ID جدا (یعنی یه رنج شبکه جدا) انتخاب کنید

بعد با مکانیزم های محافظتی لایه 2 مثل IP Source Guard (البته اگه سوئیچ هاتون سیسکو باشه) از تغییر دادن IP توسط کاربر جلوگیری کنید

من با محدود کردن ARP و تعریف اونا به صورت Static تو میکروتیک کار نکردم ولی حتماً امکانی هست برای غیر فعال کردن Dynamic Learning مک آدرس ها توسط پروتکل ARP و دستی تعریف کردن اونا که برای شبکه های بزرگ توصیه نمیشه ولی برای شبکه های کوچیک مشکلی نداره.

فقط اینم به یاد داشته باشید اگه در بین کاربراتون کاربر حرفه ای آشنا به شبکه های کامپیوتری هست اون شخص میتونه به راحتی با تغییر MAC Address کارت شبکش محدودیت ARP رو دور بزنه

بهترین و غیر قابل نفوذترین روش استفاده از سوئیچ های 2960 سیسکو و فعال کردن IP Source Guard به همراه Port-Security هست

پاسخ در 1397/11/22 توسط
1

نیازی به mangle نیست و اصولا برای اینکار نیست منگل. arp هم ارتباطی به این موضوع نداره.

آدرس هایی که باید اینترنت داشته باشند رو وارد یک address list کنید.

از مسیر ip > firewall > address list

سپس در nat ای که نوشتید ، بجای src-adress از src-address-list در قسمت advance همون nat استفاده کنید.

/ip firewall nat add chain=srcnat src-address-list=<list_name> action=masquerade
پاسخ در 1397/11/22 توسط
1

در سوال عنوان نکردید برای دو اینترنت.

در اونصورت هم باز منگل مسیر خروجی از روتر رو تغییر میده همچنان به nat دوم هم نیاز دارید.

پاسخ در 1397/11/23 توسط

پاسخ شما