یکی از ویژگیهای جالب و مفید روترهای MikroTik، فرمویر است. در این روترها به جای فرمویری ساده با امکانات بسیار محدود، از سیستم عاملی به اسم RouterOS استفاده شده است. RouterOS سیستم عاملی است که بر اساس هستهی لینوکس طراحی شده و طبعاً امکانات زیادی در اختیار مدیران شبکه قرار میدهد. حتی میتوان این سیستم عامل را روی کامپیوترهای معمولی نصب کرد و از کامپیوتر به عنوان روتر استفاده کرد! یکی از سادهترین کاربردهای روترهای میکروتیک،، فروارد کردن پورتها یا به زبان دیگر Port Forwarding است.
در این مقاله به نحوهی فروارد کردن پورت و تنظیمات Destination NAT و شماره پورت و غیره در روترهای میکروتیک میپردازیم. با سیارهی آیتی همراه شوید.
آشنایی با روترهای MikroTik
برند میکروتیک در عرصهی تجهیزات شبکه بسیار محبوب است چرا که کمپانی میکروتیک، محصولات بسیار خوبی در عرصهی شبکه تولید میکند. از روتر و سوییچهای وایرلس و سیمی گرفته تا نقاط دسترسی و همینطور سیستم عامل و نرمافزارهای مرتبط با مدیریت شبکه، در لیست محصولات این کمپانی دیده میشود. برای استفادهی بهینه از محصولات تخصصی میکروتیک، بهتر است از مقالات و دورههای آموزشی استفاده کنید. یکی از منابع مفید در این عرصه، ویدیوها و مقالات فرادرس در زمینهی • آموزش پایه ای روتربردهای میکروتیک MikroTik MTCNA — کلیک کنید است.
موضوع این مقاله فروارد کردن پورتها و تنظیمات مربوطه در روترهای میکروتیک است. برای این منظور میبایست با سیستم عامل روترهای میکروتیک آشنا شوید. سیستم عامل RouterOS همانطور که از نامش پیداست، برای روترهای میکروتیک طراحی شده است. این سیستم عامل امکانات بسیار زیادی برای مدیریت شبکه در اختیار کاربر قرار میدهد. فایروال، مدیریت و توزیع پهنای باند، فروارد کردن پورتها، سرور VPN و نقطه دسترسی وایرلس، بخشی از امکانات این سیستم عامل است. نکتهی جالب این است که میتوان این سیستم عامل را روی کامپیوترهای معمولی هم نصب کرد و در واقع از کامپیوتر به عنوان روتر استفاده کرد.
فروارد کردن پورت چیست و چه کاربردی دارد؟
یکی از نیازهای مدیران شبکه، فروارد کردن پورتها یا به زبان دیگر Port Forwarding است. در شبکههای کامپیوتری، برای هر کامپیوتر ترافیکی ورودی و خروجی وجود دارد. به عنوان مثال زمانی که میخواهید ویدیوی دوربین مدار بسته را از راه دور و از طریق اینترنت چک کنید، مقداری داده از کامپیوتر شما به دنیای اینترنت ارسال میشود و به مقصد که شبکهی متصل به دوربین است، میرسد و آن شبکه نیز دادههای دریافتی از دوربین را به شبکه و کامپیوتر شما ارسال میکند.
منظور از فروارد کردن پورتها این است که ترافیک ورودی به شبکه را با توجه به آدرس آیپی و شمارهی پورت، تفکیک کنیم و مقصد بستههای داده که ممکن است یکی از کامپیوترها یا دیگر وسایل شبکه باشد را مشخص کنیم. در واقع مقصد و منبع، هر دو به صورت IP Address و Port Number یا به زبان دیگر آدرس آیپی و شماره پورت مشخص میشود. البته برای حفظ امنیت، میتوانید به جای اشتراکگذاری آدرس آیپی سرور یا شبکه، از آیپی عمومیتری به همراه قابلیت فروارد کردن پورت استفاده کنید تا ترافیک ورودی به شبکه و سرور موردنظر شما برسد. برای مطالعهی مقالات بیشتر در حوزهی امنیت شبکه، به مجموعه • مجموعه آموزش امنیت شبکه (Network Security) — کلیک کنید مراجعه فرمایید.
قابلیت فروارد کردن پورتها چیز عجیب و پیچیدهای نیست و در واقع این روزها در محصولات ردهپایین نظیر مودمها و روترهای ارزانقیمت نیز وجود دارد. تنظیمات فروارد کردن پورتها در روترهای میکروتیک نسبتاً ساده است ولیکن ممکن است برای کاربر مبتدی، کمی عجیب و پیچیده به نظر برسد.
آپدیت کردن سیستم عامل RouterOS
قبل از بررسی روش فروارد کردن پورتها، بهتر است سیستم عامل روتراواس را بروزرسانی کنید. برای این منظور ابتدا از طریق Winbox لاگین کنید و سپس از منوی System، گزینهی Packages را انتخاب کنید. در پنجرهی باز شده روی Check for updates کلیک کنید و کمی صبر کنید. پنجرهای حاوی ورژنهای مختلف بستههای بروزرسانی ظاهر میشود. برای اطمینان از عملکرد بدون نقص روتر، بهتر است نسخههای پایدار یا Stable را نصب کنید. پس از انتخاب ورژن موردنظر، روی Download and install کلیک کنید. دقت کنید که روتر برای نصب کردن بروزرسانی، ریبوت خواهد شد.
آموزش فروارد کردن پورتها در روترهای میکروتیک
یکی از مهمترین کاربردهای روتر، NAT یا ترجمهی آدرسهای شبکه است. در حالت کلی دو نوع NAT یا ترجمهی آدرس شبکه داریم: Source NAT و Destination NAT. مورد اول برای تغییر دادن آدرس آیپی خصوصی به عمومی به کار میرود و مورد دوم برای تغییر دادن آدرس آیپی عمومی به خصوصی کاربرد دارد. به بیان دیگر از Source NAT معمولاً برای اتصال به اینترنت استفاده میشود در حالی که از Destination NAT برای اتصال به وسایل شبکهی داخلی از طریق اینترنت، استفاده میشود.
با یک مثال ساده، اتصال روتر به یک سرور دیگر و دریافت درخواستها و سپس فروارد کردن درخواستها به آدرسی در شبکهی داخلی را توضیح میدهیم: فرض کنید که میخواهیم روتر به آدرس آیپی 10.10.10.10 متصل شود و تمام درخواستهایی که شماره پورت و آیپی 10.10.10.10:5847 است را به آدرس و پورت 20.20.20.20:4324 فروارد کند.
ابتدا با استفاده از حساب مدیر، لاگین کنید. سپس در پنل کنار صفحه روی گزینهی IP کلیک کنید و در منوی باز شده نیز روی Firewall کلیک کنید.
در پنجرهی تنظیمات فایروال، روی تب NAT کلیک کنید. برای افزودن Rule یا قاعدهی جدید، روی دکمهی + بالای پنجره کلیک کنید.
برای انجام تنظیمات فوق، روی تب General کلیک کرده و در ادامه از منوی کرکرهای، dstnat را انتخاب نمایید. و اما تنظیمات مثال فوق:
- در کادر آدرس مقصد یا Dst. Address، آیپی موردنظر که میخواهید درخواستهای آن را فروارد کنید، تایپ کنید که در مثال ما آدرس آیپی 10.10.10.10 است.
- در لیست پروتکلها، متناسب با نیاز و کاربرد، پروتکل کانکشن را انتخاب کنید که در این مثال TCP را انتخاب کردهایم.
- در کادر شماره پورت مقصد یا Dst. Port، پورتهایی که میخواهید درخواستهای آن را فروارد کنید، وارد کنید که در مثال ما پورت شماره 5874 است.
گام بعدی مراجعه به تب Action یا عمل است. در این تب از منوی کرکرهای انتخاب عمل، گزینهی dst-nat را انتخاب نمایید. تنظیمات آیپی و پورت به صورت زیر است:
- در کادر To Addresses آدرس آیپی که میخواهید درخواستها به آن فروارد شود را وارد کنید که در مثال ما، 20.20.20.20 است.
- در کادر Ports، شمارهی پورتهایی که میخواهید درخواستها به آن فروارد شود را تایپ کنید که در مثال ما پورت 4324 است. در واقع میتوانید یک درخواست را به پورتهای مختلف و آیپیهای مختلف ارسال کنید تا توسط کامپیوترهای مختلف، دریافت و بررسی شود.
در نهایت روی Apply و OK کلیک کنید تا قاعدهی جدید فروارد کردن پورتها ذخیره شود. به این ترتیب از این پس درخواستهایی که از آیپی 10.10.10.10 و پورت 5874 به شبکهی منزل یا محل کار شما برسد، به آیپی 20.20.20.20 با شماره پورت 4324 ارسال خواهد شد.
میتوانید با تکرار همین مراحل، قوانین جدیدی که برای فروارد کردن پورتها نیاز دارید را در سیستم عامل RouterOS تعریف کنید.
برای اطلاعات بیشتر در مورد تنظیمات و پیکربندی روترهای میکروتیک به مقالهی زیر از وبسایت فرادرس توجه فرمایید:
سیارهی آیتی