Mikrotik Ürünleri ve Çözümleri » Firewall

Uygulama 2: Datacenter için Trafik Limitleme(Qos, Bandwidth Shaping)

SelcukSARAC — Wed, 24 Sep 2008 20:32:21 +0000

Bu uygulamadaki amacımız datacenter veya sistem odamız içerisinde bulunan müşterilerimize veya kendimize ait sunucu veya tek bir sunucu içerisindeki web sitelerinin(IP leri birbirinden bağımsız olmalı) trafiklerini izlemek, limitlemek ve bunlara ait grafikleri yaratarak geçmişe dair kayıt tutmaktır.

Örnek uygulamada X Hosting firmasının sahibi olduğumuzu düşünüyor. Mars Telekom Datacenter’ı bünyesinden hizmet alarak servis sağladığımızı düşünüyoruz. (Mars Telekom’a torpil geçiyoruz)

Genel Topoloji

Bu modelde örnek olarak sadece 2 adet web serveriniz üzerindeki 7 ip adresine limit uygulayacağız. Örnek modeli kendi sisteminize aynı şekilde uygulayabilirsiniz.

Limit işlemlerini Winbox menümüzde QUEUES bölümünden yapabiliyoruz. Simple Queues bölümü IP bazlı uygulanacak limitlerin bulunduğu bölümdür. Interface Queues mikrotik Router’ımız üzerindeki ethernet kartlarına uygulayacağımız limitlemelerdir. Bu limitlemeler toplam trafik için değil, anlık paket boyutları ile ilgili olabilir. Queue Types ise bağlantıların durumalrına göre limit uygulamamız mümkündür, örnek olarak bağlantı başına 1 mbit limitlenmesi gibi.

Mikrotik Queues Ekranı

Bu bilgiler ışığında aşağıdaki örneklere geçelim.

Örnek 1: Sunucuların tüm çıkışını belirli bir trafiğe limitlemek.

Bu örneğe göre 2 adet web sunucumuzun trafiklerini limitlemek için 2 adet SIMPLE QUEUE yaratacağız. Yaratacağımız SIMPLE QUEUE larda TARGET ADDRESS kısmına web server’ımız üzerindeki tüm ip adreslerini eklememiz durumunda vereceğimiz limit tüm sistemi kapsamış olacaktır.

Yeni SIMPLE QUEUE ekleme

Örnek ekranda 1. olarak gireceğimiz limit için isim vermemiz işimizi ileride pek çok limitleme modeli ile çalışacağımız için kolaylaştırmış olacaktır. TARGET ADDRESS kısmı limitasyonun uygulanacağı ip adresidir. 2 ile işaretlediğimiz okları kullanarak daha fazla ip adresi ekleyebilir veya silebilirsiniz. 3 bu ip adreslerinden mikrotik’e gelen yani bu ip adreslerinden dışarıya, internete UPLOAD olacak trafiğin limit miktarıdır. 4 ise aynı şekilde DOWNLOAD miktarıdır.

Bu alanlarda 1024K, 1M, 5M, 10M gibi değerler ile limit belirtebilirsiniz. Bu örnekte Web server 1 makinamıza 3 Mbit upload, 5 Mbit download limiti uyguladık.

Simple Queue

Aynı ekranda TRAFFIC sekmesinde anlık olarak bu sunucu için girilen trafiği görebilirsiniz. Aynı şekilde üstteki TOTAL ve TOTAL STATISTICS kısmından toplam byte/bit şeklinde diğer raporları görebilirsiniz.

Örnek 2: Belirli bir süre için BURST yani aşım garantisi vereceğiz.

Bu örnekte 1. örneğimizde 3 MBit olarak tanımladığımız limitin belirli bir süre için 6 Mbit’e kadar yükselmesini ve belirlediğimiz süre sonrasında tekrar 3 Mbit’e geri düşmesini sağlayacağız. Bu sayede müşterilerinizin anlık taleplerinde bir süre içinde olsa hızlı erişim sunabilirsiniz.

Burst Limit

Burst trafiklerde 3 parametremiz bulunuyor. Burst Limit, Burst Threshold ve Burst Time. Bu değerlere göre müşterinizizin hangi sürelerde aşım yapabileceğini belirliyorsunuz.

Yukarıdaki grafik bu değerlerin hangi mantıkta çalıştığını açıklama konusunda oldukça yararlıdır. Bu örnekte 256Kbit Max limit koyduğunuz müşterinizin 8 saniyelik işlem süresinin tamamında en çok 512Kbit hıza çıkabilmesini istiyoruz.

Matematiksel olarak bu işlem yeşil rekle ifade edilen averaj hesabı sayesinde yapılır. Burst Time olarak8 Saniye vermemiz durumunda ilk 4 saniye boyunca müşterimiz 512 Kbit full olarak kullanacaktır. Sonraki 4 saniyede ise yavaş yavaş 256Kbit seviyesine düşecek, 8. saniyede ise 256Kbit olarak devam edecektir.

Buradaki değerleri örnek olarak Müşterinizin 5 saniye boyunca 6 MBit full kullanmasını sonraki 5 saniye içerisindede hızının 3 Mbit’e düşmesini sağlayabilirsiniz.

Değer olarak Burst Limit = 6 Mbit, Burst Time 10s (saniye) Burst Threshold = 2 Mbit vermeniz durumunda bu işlemi gerçekleştirebilirsiniz.

Örnek 3: Müşterinizin sistemine gelecek tüm bağlantıların hızlarını anlık bir limite bağlamak.

Bu örneğimizi kısaca şöyle düşünebiliriz. Bir web siteniz var ve ana sayfanızın boyutu tüm içeriği ile birlikte 1 Mbyte. Ve bu siteye aynı anda 10 kişi bağlanıyor. Bu 10 kullanıcının internet bağlantıları 1 tanesi 100 Mbit hızında bağlı, 1 tanesi 20 Mbit hızında bağlı ve diğerleri 512Kbit hızlarında bağlı olsun.

Aynı anda bu 10 kullanıcı müşterinizin web sitesine girmek istediğinde 100 Mbit ve 20 Mbit hızlarla bağlı olan kullanıcıların aşırı hızlı dosya çekme talepleri nedeniyle diğer 8 kişi bu siteye oldukça yavaş erişeceklerdir. Bunun nedeni sahip oldukları aşırı hızlı bağlantıdır. Aynı şekilde bu aşırı hızlı bağlantılar sizin ana trafiğinizde de peak yapacak ve anlık olarak sizin trafiğinizinde sıkışmasına neden olacaktır.

İşte bu noktada yapacağımız bağlantı başına limit(Per Connection Queue-PCQ) ayarları sayesinde bu 10 kullanıcının tamamı belirleyeceğimiz maksimum hızda erişerek hem ana trafiğinize zarar vermez, hem müşterinizin anlık trafiğini tüketmez hemde diğer 8 ziyaretçinin erişim hızlarının ciddi ölçüde sorunsuz olmasını sağlayacaktır.

Bu işlem için öncelikle Queue Type ayarlarımıza kendi istediğimiz bazı özellikleri ekleyeceğiz.

Bağlantı başına hızlar şuandaki Türkiye trafiklerini düşünürsek anlık 1024Kbit veya anlık 2048Kbit olarak uygun görünmektedir. Bu değerleri sahip olduğunuz trafikleri düşünerek değiştirebilirsiniz.

Per Connection Queue Örnek tanımlar

Yukarıdaki ekranda öncelikle Queue Types kısmına geliyor ve yeni bir tip ekliyoruz. Bu tipe bir isim giriyoruz. Biz karışmaması için pcq_512k olarak veriyoruz. Kind ibaresi bu queue işleminin hangi terminolojiye göre yapılacağını seçeceğiz. Biz PCQ yapacağız yani bağlantı başına kuyruklama. Rate kısmında trafik miktarını seçiyoruz. Biz örnekte 512Kbit seçeceğimiz için 512k yazıyoruz. Limit ve Total Limit bölümülerine dokunmadan şağıda bulunan SRC ve DST address,port alanlarını seçerek kaydediyoruz.

Şimdi Tip kısmını tamamladık. Sıra bunu uygulamak istediğimiz SIMPLE QUEUElarımızı seçip bunu uygulamakta.

SIMPLE QUEUE

Uygulamak istediğimiz SIMPLE QUEUE’yu seçerek ADVANCED sekmesinden QUEUE TYPE’ı yarattıgımız pcq_512k seçmemiz durumunda uygulanan noktada UPLOAD/DOWNLOAD bölümlerinde bu tipi uygulayabilirsiniz. Deneme yaparak tip’in çalışıp çalışmadığını deneyebilirsiniz.

Bu ayarlamalara örnek vermek gerekirse 50 MBit seviyesinde web hosting yayını yapan bir sistemde anlık 2048Kbit limit uyguladığınızda trafik kapasitenizin 40 Mbit seviyesine düştüğünü ve hiç bir müşteri şikayeti almadığınızı göreceksiniz. Bu kullanım ve maliyet açısında sizlere ciddi kar sağlayacaktır.

Örnek 4: Aynı hız limitine sahip 5 müşteriniz arasında öncelik tanımlamak.

Bu işlemde 1 Mbit limitli 5 müşterimizin önceliklerini belirlemek istiyoruz. A müşterimizin önceliği diğer 4 müşterimizden daha fazla olsun diye düşündüğümüzde Mikrotik bize bu konuda ciddi kolaylıklar sunuyor. SIMPLE QUEUE bölümündeki herhangi kuralın üzerine tıklayın. Açılan pencerede ADVANCED sekmesine gelerek pencerenin en altındaki PRIORITY yani öncelik alanında 1 ile 8 arasında bir değer belirtin.

1 den 8 e kadar değer verebileceğiniz bu alanda 1 En yüksek önceliğe sahip 8 ise en düşük önceliğe sahip durumdadır. Müşterilerinizin öncelik sıralamasını buradan belirleyebilrsiniz.

GRAFİK ve MRTG çıktıları

Pekala, kullanıma göre yukarıdaki örneklerde müşterilerimizi ve kendi kullanımlarımızı kontrol altına aldık. Şimdi sıra bu kullanımları kaydetmek ve geçmişe göre grafiklerle izleyebilmekte.

Bu noktada son sürümlerinde çok doğru bir uygulama ekleyen Mikrotik tüm SIMPLE QUEUE ve Mikrotik üzerindeki pek çok işlemin grafiğini belirleyeceğimiz kurallara göre kayıt altında tutmamıza imkan tanıyor.

Bu grafikleri eskiden SNMP OID lerini kullanarak harici MRTG sistemlerinde tutabiliyorduk, fakat yönetimi oldukça zahmetliydi. Artık bu zahmetten bizi tamamen kurtaran Mikrotik tüm işlemi kendisi hallediyor.

Mikrotik GRAPH

Graph ayarları TOOLS bölümündedir.

Mikrotik GRAPH

QUEUE RULES ekranına gelerek, yeni bir grafik kuralı ekliyoruz. Burada dilerseniz tek bir queue seçebiir, dilerseniz tüm kuyruk ayarlarını otomatik olarak yaratmasını sağlayabilirsiniz. Özellikle Allow Address kısmında sadece sizin görebilmeniz için bir kuralda koyma şansınız bulunmaktadır.

Biz ALL yani tüm queue listesini otomatik olarak grafikleştirmesini istiyoruz.

Mikrotik GRAPH

Kuralı ekledikten sonraki görünümdür.

Mikrotik GRAPH

Grafikleri izlemek için Mikrotik Router’ınızın ip adresine browser üzerinden erişmeniz yeterlidir. Burada GRAPHS kısmına girmeniz durumunda grafiğini yaratmak istediğiniz tüm işlemleri görebilirsiniz.

Mikrotik GRAPH

Çıktıya göz atmak gerekirse, ip adresi, queue adı, verdiğimiz limitlerin tamamı ekrana listelenir. Böylece müşterinizin hangi şartlarda limitlendiğinide otomatik olarak göstermiş olursunuz. Altta ise grafiğin yaratıldığı an, averaş ve maksimum şeklinde değerlere göre çizilmiş standart bir MRTG grafiği görebilirsiniz.

Mikrotik kullanımlar alanında ciddi rahatlıklar sağlar diye başlamıştık hakkındaki yazımıza. Bu alandaki kolay yönetim ve kolay ayarlanabilir olma özellikleri bu sözümüzü kanıtlar niteliktedir.

Web Proxy ile İçerik Filtreleme ve Erişimleri Kaydetme

SelcukSARAC — Tue, 23 Sep 2008 09:43:30 +0000

Web Proxy, Mikrotik‘in işlevsel özelliklerinden biridir. Reverse Proxy olarak kullanılabilir olması, firewall üzerinden Transparan olarak çalışarak kullanıcılara herhangi bir işlem gerektirmeden trafikleri yönetmesi ve oldukça rahat yönetilebilen içerik filtreleme özellikleri sayesinde ofis ve internet cafelerin kullanımında ciddi rahatlıklar sağlayabilir. Hatta bu konuda Web Server Load Balancing gibi işlemleride aynı uygulamadan yapabilmektesiniz.

Özellikle yeni çıkan Bilişim suçları ile mücadele konusundaki yürütmeliklerde toplu internet kullanımı sağlayan(ücretli ücretsiz) (örnek olarak: şirketinizin ofisi, internet cafeler, wireless erişim veren cafeler, hoteller ve benzeri noktalar) firmaların tüm kullanıcılarının erişimlerini kaydetmesi yasal olarak zorunluluk olduğundan bu sistem sayesinde çok cüzzi ücretlere bu özelliği Mikrotik sayesinde kullanabilirsiniz.

Profesyonel Log ve kayıt sistemi konusunda diğer makalelerimizi inceleyebilirsiniz. Bu dökümanda sadece Web Proxy konusunda bilgi vereceğiz.

Öncelikle default bir konfigurasyon yapacağız. Bu örneğimizde basit bir ofis networküne sahip olduğumuzu ve mikrotik‘in bu networkün önünde erişim ve filtreleme sağladığını varsayıyoruz.

Network Genel Gorunum

Öncelikle Web Proxy ayarlarımızı aktif hale getiriyor ve ofis networkümüze erişime izin veriyoruz. Ofis networkümüzün 192.168.1.0/24 networkü olduğunu varsayıyoruz.

Mikrotik Web Proxy

Web Proxy ekranında proxy default olarak kapalı geldiğinden proxy ayarlarımızı enable ederek aktif hale getiriyoruz.

Mikrotik Web Proxy

Mikrotik Web Proxy default olarak tcp 8080 portunda çalışmaktadır. Sonrasında ofis networkümüz için tüm networkten gelecek erişimlere izin veriyoruz.

Mikrotik Web Proxy

Şuanda Web Proxy default ayarları ile ofisimizden gelecek taleplere izin verecektir.

Şimdi sırada tüm kullanıcılarımızın yapacağı web taleplerini Web Proxy üzerine yönlendirmekte. Bunun için Firewall‘ı üzerindeki NAT özelliklerimizi kullanacağız.

Web Proxy için NAT ayarları

Yeni bir nat kuralı ekleyeceğiz. Chain olarak dstnat seçiyoruz. Bunun amacı DESTINATION için bir kural uygulayacak olmamızdır. Yani ofis networkümüz kaynağından internet destination’una gidecek TCP protokolündeki 80. porta gelecek taleplerin tamamına uygulanacaktır.

Web Proxy için NAT ayarları

Aynı ekran üzerinde ACTION kısmında REDIRECT seçiyoruz, bu işlem gelen tüm paketleri Mikrotik Firewall üzerinde bir başka port’a redirect etmemizi sağlamaktadır. Bu sayede kullanıcılarımızda herhangi bir değişikliğe gerek olmaksızın ofisimizden gelecek tüm talepler az önce ayarlarını yaptığımız Proxy sistemimize yönlenecektir.

Web Proxy Connections Ekranı

Bu işlemlerden sonra Web Proxy’miz çalışmaya başlayacaktır. Hatta bu konuda işlemleri Web Proxy penceresindeki Connections ekranından inceleyebilirsiniz. Burada lokal network ve diğer erişimler konusunda detaylı bilgiler vermektedir.

Şimdi öncelikle bazı web sitelerini nasıl yasaklayacağımızı görelim.

Web Proxy -> Access ekranı bu işlemleri yapacağımız alanımızdır. Aşağıdaki örnekte www.google.com adresini yasaklamak için gerekli kuralı görebilirsiniz.

İçerik Filtreleme

Örnek olması açısından kullanıcılarımızın MP3 dosya indirememesi içinde bir örnek ekleyebiliriz. Bu konuda *.mp3 *.avi *.exe *.rar gibi benzeri uzantıları yasaklamanızda mümkündür.

İçerik Filtreleme

Filtreleme alanında Regular Exp. kullanabilmktesiniz. Örnek olarak alan adında SEX kelimesi geçen siteleri bloklamak isterseniz bu durumda dst-host kısmında :sex yazmanız durumunda adresleri www.sexshop.com www.canlisex.com gibi siteleride engellemiş olursunuz.

Web proxy ayarlarımızı tamamladık. Tüm kullanıcılarımızı proxy üzerine yönlendirdik ve bazı siteleri engellemeyi başardık. Şimdi bu işlemler olurken oluşan erişimleri kaydetmeye geliyor sıra.

Bu noktada Mikrotik‘in logging özelliğini kullanacağız.

Bildiğiniz üzere LOG ekranı mikrotik üzerindeki işlemlerin kayıtlarını görmemizi sağlayan bir bölümdür. Birde SYSTEM-> LOGGING ekranımız bulunmaktadır. Bu ekrandan hangi işlemleri hangi kriterlerle ve nereye kaydetmek istediğinizi yönetebilirsiniz.

Mikrotik Logging

LOGGING yani log ayarları sayfamız konusunda farklı bir makale üzerinde daha detaylı bilgi sunacağız. Şimdilik kısaca üzerinden geçeceğiz. Ekranda RULES ve ACTIONS sekmeleri görülüyor. RULES log tutmak istediğiniz kural ve kriterleri seçmenize, ACTIONS ise tutulacak logların nerelere ve hangi şartlarda kaydedileceğini belirlememiz içindir.

Mikrotik Logging

Öncelikle yeni bir Log kuralı yaratıyoruz. Topics mikrotik üzerindeki hangi olaylarda hangi uygulamalarla ilgili kayıt tutabileceğimize ilişkin bir seçenek sunar. Biz burada Web-Proxy uygulaması ile ilgili kayıt tutacağımızı ve kayıtların standart MEMORY kayıtlarında durmasını seçiyoruz.

Ardından LOG ekranına baktığımızda, kullanıcılarımızın gezdikleri siteler ile ilgili proxy tarafından tutulan kayıtları görebilirsiniz.

Mikrotik Logging

Unutmayalım; bu dökümanda anlatılan kayıt sistemi çok uzun bir geçmiş değil 50-100 satır gibi bir işlemi kayıtlarında tutmaktadır. Daha uzun süreli kayıt tutmak için REMOTE yani harici bir bilgisayar üzerinde çalışabilecek bir kayıt sunucusu ayarlayarak 3-5 yıllık geçmişe kadar tüm kayıtlarımızı saklamamız mümkündür. Bu konuda Kayıt sistemi ile ilgili diğer makalelerimizi inceleyebilirsiniz.

Mikrotik Firewall’a Giriş

admin — Tue, 23 Sep 2008 06:58:56 +0000

Mikrotik RouterOS Firewall Nedir?

Firewall cihazımız üzerinden geçen tüm paketleri izleyerek bu paketlere vereceğimiz parametrelere göre işlem yapmak üzere kurgulanmış bir uygulamadır.

Bu uygulama tüm işlemlerini 3 ana tablo altında toplamaktadır.

INPUT: Yani sadece router’ımıza giren paketler.
OUTPUT: Yani sadece router’ımızdan dışarı çıkan paketler.
FORWARD: Router’ımız üzerinden geçerek bir başka ip adresine giden paketler.(routing-nat)

Mikrotik Linux tabanlı bir sistem olduğundan Linux Kerneli üzerindeki IPTABLES sistemi ile birebir aynı mantığa sahiptir. Fakat kullanım açısından ciddi kolaylıklar sağlayarak çok daha rahat yönetim imkanı sunmaktadır.

Winbox Uzerinde Firewall Ekrani

Firewall özellikleri ile pek çok parametre sayesinde bize 120 den fazla seçenek ile filtreleme ve uygulama yapmamıza olanak tanır.

Firewall Yeni Kural

Son sürümlerde geliştirilen bu özelliği sayesinde pek çok işlemde SCRIPT yazarak algılama ve tespit konularında da beceriler eklenen Mikrotik Firewall ofis networklerinizde ciddi oranda kolaylıklar sağlamaktadır.

Firewall Planlama

Planlama konusunda 2 tip mantık üzerinden hareket edebiliriz.

İlk tip: Herşeyi kapatarak sadece ihtiyacımız olan portlara izin vererek.
İkinci tip: Herşeyi açık bırakarak, sadece engellemek istediğimiz portları engelleyerek.

Bu tiplerin kullanımlarına örnek:

Herşeyi engelle, sadece ihtiyacınız olan portlara izin ver:

Örnek olarak web, dns, mail gibi servisler sunduğunuz bir server’ınız veya serverlarınız var. Bu durumda sadece kullandığınız portlara izin vermeniz, ihtiyacınız olmayan diğer portları tamamen kapatmanız en doğru çözüm olacaktır.

Herşeye izin ver, sadece engellemek istediklerini engelle.

Bu durum bir ofis kullanımı için oldukça uygundur. Örnek olarak 50 kullanıcılık bir ofis networkünde MSN veya OYUN portlarını kapatmak fakat diğer tüm uygulamalara müsade etmek en kolay yönetimlerdendir.

Bu kullanımlardan hangisi size en uygun buna karar vererek işleme başlayabilirsiniz.

Adım adım aşağıdaki noktaların üzerinden geçerek firewall yapılandırmanızı planlayabilirsiniz.

Adım 1: Öncelikle firewall’ın güvenliğini sağlamalıyız. Bu güvenliği firewall’a sadece belirli ip adreslerinden tüm erişimlere izin vererek, diğer erişimlerin tamamını kapatarak sağlayabiliriz. Ayrıca dışarıya açık olan servislerin erişim limitlerinide belirtebiliriz. Örnek olarak sadece ssh ve web portunu açık bırakarak diğer tüm portları kapatmak, ICMP üzerinden de gelen talepleride aynı şekilde belirli süre ve paket boyutuna limitlememiz yeterli olacaktır.

Firewall INPUT Kuralları

Grafikte göreceğiniz noktada Bytes ve Packet alanlarında bu girmiş olduğunuz kuralın kaç byte ve kaç paket için uygulandığınıda görebiliyorsunuz. Bu özellik sayesinde uygulanan kuralın işlevsellik durumunu kontrol edebiliyor, ne kadar etki yarattığını inceleyebiliyorsunuz.

Ayrıca kuralın üzerine 2 defa tıklamanız durumunda Trafik ve İstatistikler sekmelerinde anlık olarak trafik ve diğer istatistik verilerinide görebilirsiniz.

Adım 2: karar verdiğimiz kullanım tipini belirlediysek buna göre kuralları oluşturabiliriz. Örnek olarak herşeyi kapatarak sadece ihtiyacımız olan portlara açmayı görebilirsiniz.

Firewall Forward Table

Adım 3: Erişimlerin kayıtlarınıda tutmak istersek bu durumdada Firewall ayarlarımızı kullanarak erişimleri kaydedebiliriz. Bu işlem için yeni kural ekliyorsunuz. Kural ekleme ekranında Chain kısmına yeni yaratmak istediğiniz tabloyu yaratmanız yeterlidir. Winbox bu kuralı otomatik olarak yaratacaktır. Ekstra bir işlem yapmanıza gerek yoktur.

Winbox Firewall

Bu işlemde Action kısmında işlem olarak LOG seçiyor ve LOG PREFIX olarak LOGANDDROP yazıyoruz. Bu işlem sayesinde bu kurallarca tutulacak kayıtların satır başlarında bu kural tarafından tutulduğuna dair bir belirti olacak böylece pek çok log üzerinde çalışırken hangi işlemden dolayı kayıt tutulduğunu karıştırmamış olacaksınız.

Winbox Firewall

Yarattığımız LOGANDDROP tablosunu firewall penceresinin sağ tarafından seçerek bu tablo içerisindeki kurallarımızı görebilirsiniz.

Winbox Firewall

Bu tabloda 2 kural uygulayacağız. 1. Kuralımız gelen tüm paketleri kaydet. Yani Log tutması. 2. kural ise tüm paketleri engellemesi olacak. Bu kural sonrasında tablomuzun görünümü şu şekilde olacaktır.

Winbox Firewall

Şimdi bu tablomuzu yarattık. Fakat ana tablolarımız olan INPUT-FORWARD-OUTPUT veya diğer aktif tablolarımızdan herhangi bir işlemi bu tablomuza yönlendirmeden kullanılamayacaktır. Bu nedenle yapmak istediğimiz işleme göre kuralları bu tabloya yönlendirmemiz gerekecektir. Action kısmında JUMP özelliği bu işlem için kullanılmaktadır.

Örneğimizde istemediğimiz tüm paketleri DROP olarak seçmiştik. Şimdi bu filtreye giderek DROP yerine JUMP seçeceğiz. JUMP edilecek tablo olarakta yeni yarattığımız bu LOG_AND_DROP tablosunu seçeceğiz. Böylece bu filtreye uyan tüm paketler bu tablomuza gelecektir. Bu tablomuzda önce kaydedilecek sonrasında ise DROP edilecektir.

Winbox Firewall

Ve bu kuralımızın ardından LOG kısmına girip baktığımızda pek çok kayıt göreceksiniz. Bu kayıtları incelerseniz hangi Source ip adresinden hangi destination’a gittiğine kadar pek çok detayı bulabilirsiniz.

Bu arada önemli bir özellik konusunda bilgi vermemiz gerekiyor. Sistemin default log özelliği 50-100 satırdan fazla kaydı tutmayacaktır. Log özelliğini genişletmek için daha sonraki makalelerimizde unix SYSLOGD üzerinde log tutulabilmesine ilişkin bazı özellikleri incelemeniz gerekmektedir.

Winbox Firewall

Farklı tablolar kullanarak farklı kullanımlar veya farklı müşterileriniz için Mikrotik Firewall’ı oldukça iyi derecede düzenleyebilirsiniz.

Uygulama 1: Ofisler için Network Paylaşımı(NAT-DHCP-Trafik Limitleme)

admin — Fri, 19 Sep 2008 13:06:50 +0000

Bu uygulamamızda amaçlarımız;

Bir ofiste 2 ve daha fazla sayıdaki personele internet erişimi sunmak.(örnek 1000 kullanıcı içinde olabilir)
Tüm bilgisayarların ip kayıtlarını tek bir sistemden yönetmek ve izlemek.
Kullanıcılara sunacağımız internet bağlantısını kişi veya kullanım ihtiyaçlarına göre limitlemek.

şeklindedir. Amacımıza ulaşabilmek için üzerinde RouterOs çalışan en az 2 adet ethernet kartı olan bir sistem. Bir internet bağlantısı ve 2 ve daha fazla sayıda kullanıcı.

Uygulama bir ofiste, internet cafelerde, evde ve ihtiyaç duyabileceğiniz ufak networklerin tamamında işinize yarayacaktır.

Uygulamalar teknik dökümantasyonlardan öte, gerçek hatta, ofiste-evde-okulda ihtiyaç duyabileceğimiz örnekleri daha iyi anlatabilmemiz için teknik dökümantasyonlarda aktarmaya çalıştığımız komutların örneklerle sunulmuş dökümanlarımızdır. Uygulamalarda internet çalışma yapısı, ip adresi düzenlemeleri, mikrotik’in kurulma ve yönetim ile ilgili özellikleri bildiğiniz varsayılmaktadır. Bu konular hakkında bilgi için diğer makalelerimizi inceleyebilirsiniz.

1. Adım; ADSL veya internet bağlantısı sağlayan ekipmanınızın ve Mikrotik’in 2. ethernetine sadece bu 2 cihaz birbiri ile haberleşebilsin diye özel bir ip adresi vereceğiz.

GRAFİK BİR — NETWORK GENEL

2. Adım: Mikrotik üzerindeki interface düzenlemelerimizi kontrol edelim. Hatta isimleri karışmasın ve daha kolay yönetebilmemiz için isimlerini düzenleyelim. Ardından IP adreslerimizi düzenleyeceğiz.

Interface Düzenlemeleri

3. Adım: Mikrotik üzerindeki ip adreslerini ana network grafiğimizdeki gibi değiştirelim.

IP Adresleri

4. Adım: Öncelikle Lokal network üzerinde çalışması için bir DHCP Server yapılandıracağız. Bu sayede ağımızda bulunan kullanıcılar için tek tek ip ayarları ile ilgilenmemize, bir ip veya güvenlik düzenlemesi için tüm ağ üzerinde tek tek uğraşmaya gerek kalmayacaktır. Aşağıdaki grafikte Setup butonu tüm ayarları adım adım bizim için teyid edecek ve sistemdeki düzenlemelerini yapacaktır. Örneğimizde lokal ağ olarak 192.168.1.0/24 networkünü vereceğiz. Kullanıcıların bilgisayarlarına DHCP server bu ip aralığından dağıtım yapacaktır.

DHCP Server

DHCP Setup

DHCP Gateway

DHCP Setup

5. Adım: Kullanıcılarınız DHCP üzerinden DNS server bilgilerinide otomatik olarak alabilirler. Bu bilgiler için DHCP Server ayarlarındaki parametreleri de güncelleyelim. Örneğimizde Türk Telekom’un dns server ip adreslerini kullanmaktayız. Dilerseniz sorunsuz çalışan farklı dns sunucularıda kullanabilirsiniz.

Bu arada Mikrotik kendi üzerinde sorunsuz çalışabilen bir DNS sistemide sağlamaktadır. Bu ihtiyaç için bizzat mikrotik’in üzerindeki uygulamayıda kullanmanız mümkündür.

DHCP DNS Setup

DHCP SETUP

6. Adım: DHCP Server’ımızı tamamladık, şimdi sıra IP-> FIREWALL -> NAT sekmesi üzerinden kendi ağımızdan gelecek internet bağlantı taleplerine cevap verebilmek için gerekli olan ayarları tamamlamakta. Bu işlemde Source-NAT tekniği ile ağımıza MASQUERADE tipi ile erişimi dağıtacağız. NAT ve MASQUERADE bu kullanımlarda tüm dünyaca kullanılan standart bir teknik olup detayları hakkında farklı kaynaklardan bilgi alabilirsiniz. Firewall üzerinde NAT kuralı girerken Out Interface olarak ether1-WAN interface’ini seçmiş durumdayız. Bu sayede sadece kendi ağımızdan gelip, dış internet’e giden paketler için bu kuralın geçerli olacağını hatırlatırız.

NAT Ayarları

Şuana kadar yaptığımız ayarlar ile ofisteki ağınıza otomatik ip dağıtmış ve gelen talepleri internete çıkartmayı başarmış olduk.

Şimdi sıra ağımızdaki bazı kullanıcılara veya tüm kullanıcılara upload-download limitlerini tanımlayarak ana internet bağlantımızın optimum hallerde kullanımını sağlamakta.

Bunun için QUEUES bölümünden faydalanacağız.

7. Adım: Bağlantı başına limit uygulama işlemi sayesinde toplam 4 mbit olan ADSL hattımız ile aynı anda 1 kullanıcımızın çekebileceği maksimum veri hızını 1 mbit olarak sabitlemiş olacağız. Bu sayede tek bir kullanıcı yüzünden tüm internet erişimi tüketilmemiş olacaktır.

Queues Ayarlari

8. Adım: 7. adım içerisinde anlık bağlantı için bir tip yarattık. Bu adımda ise bu tip’i tüm kullanıcılarımıza uygulayacağız. Bunun için yeni bir Simple Queue ekliyoruz. Bu queue ekleme işleminde target-address kısmı bu kuralın gerçeli olacağı ip aralığını belirtmektedir. Queue listesinde uygulama şekli üstten aşağıya doğrudur. Yani üst sırada bulunan 192.168.1.0/24 networkü için yazılmış bir kural alt sıradaki 192.168.1.1/32 için yazılmış bir kuralın çalışmasını engelleyecektir. Bu nedenle az kapsamlı kuralları üst sıralarda yazarak daha geniş kapsamlı kuralları alt sıralarda yazmak kullanım açısından daha doğru olacaktır. Bu uygulamada şimdilik tek kural kullanacağız. Trafik limitleme ile ilgili diğer örneklerimizde bu konularda daha kapsamlı inceleyebilirsiniz.

Queues Ayarlari

Bu uygulamamızda tüm ofisinizdeki internet erişimini bir Mikrotik Router üzerinden taşıma, limitleme işlemlerini tamamlamış durumdasınız.

Sorularınızı bize iletebilirsiniz.

Mikrotik Lisansları

admin — Tue, 16 Sep 2008 23:13:08 +0000

Mikrotik’in routerOS’u 6 seviyeden oluşan bir lisanslama modeline sahiptir. Kısacası kullanım kapsamına göre sizden 45 USD ile 250 USD arasında farklı fiyatlar ödemeniz beklenmektedir.

Level 0-1-3-4-5-6 (evet 2 numaralı lisansı yemişler:))

Lisans Seviyesi

0 (FREE)

1 (DEMO)

3 (WISP CPE)

4 (WISP)

5 (WISP)

6 (Controller)

Ücreti

no key

Üyelik Gerekir

volume only

$45

$95

$250

Güncellenebilir mi?

no upgrades

ROS v4.x

ROS v5.x

Kurulum Desteği

15 days

30 days

Wireless AP

24h limit

yes

Wireless Client and Bridge

24h limit

yes

RIP, OSPF, BGP protocols

24h limit

yes
(v3 x86 = RIP)

yes
(v3 x86 = RIP, OSPF)

yes
(v3 x86 = ALL)

yes

EoIP tunnels

24h limit

unlimited
(V3 = 1)

unlimited

PPPoE tunnels

24h limit

200
(V3 = 1)

200

500

unlimited

PPTP tunnels

24h limit

200
(V3 = 1)

200

unlimited

L2TP tunnels

24h limit

200
(V3 = 1)

200

unlimited

OVPN tunnels

24h limit

200
(V3 = 1)

200

unlimited

VLAN interfaces

24h limit

unlimited
(V3 = 1)

unlimited

P2P firewall kuralı

24h limit

unlimited
(V3 = 1)

unlimited

NAT Kuralı

24h limit

unlimited

HotSpot Aktif User

24h limit

200

500

unlimited

RADIUS İstemcisi

24h limit

yes

Trafik Limit Kuyruğu

24h limit

unlimited

Web proxy

24h limit

yes

Senkron interfaces

24h limit

yes

User manager aktif

24h limit

10 (v3 10)

10 (v3 20)

10 (v3 50)

Unlimited

** Tüm Level 4,5 ve 6 lisansları

Süresiz kullanılabilirler.
15-30 gün süresince ücretsiz e-mail desteği içerirler.
Sınırsız interface tanımlamanıza izin verirler.

Grafikten görüldüğü üzere eğer sadece routing-firewall gibi ofis ve sistem odası ihtiyaçlarınız için kullanımda Level 4 yeterli bir lisans olarak görülmektedir.

Level 5 ve Level 6 Wireless ISP ve Wireless kullanımlar için uygundur.

Wireless ISP başlığımızda bu lisanslar ve detayları hakkında bilgi bulabilirsiniz.

RouterOs Paketleri ve Kapsamları

admin — Tue, 16 Sep 2008 16:33:17 +0000

RouterOS sağladığı servisleri belirli paketler altında toplamıştır. Bu paketlerin içerisinde yapılacak işlemler hakkında bilgiler bulunur. Ek olarak sunmak istediğiniz servisleri sağlayabilmek için bu paketlerdeki özelliklere ihtiyaç duyacağınızdan paket içeriklerini bilmeniz gerekmektedir.

Mikrotik Paketleri

system: system paketi RouterOs’un çekirdeğini ve ana bilgileri içeriri. Olmazsa olmazdır.
advanced-tools: Adı üzerinde gelişmiş uygulamaları barındırır. Ping, Traceroute, IP scan, scripting gibi özellikleri barındırır. Winbox üzerindeki Tools bölümünde diğer uygulamalarıda görebilrisiniz.
security: Güvenlik erişim kontrollerini içerir. Firewall ile ilgisi yoktur. Daha çok noktalar arasındaki erişimlerin güvenlik ve bağlantı özelliklerini sağlayan pakettir.
dhcp: Dhcp Server ve Client bilgilerini sunan paketidir.
ppp: PPTP, PPPOE, L2TP, VPN gibi protokoller için gereken uygulamaları içeriri.
routing:Routing protokollerini içerir. Statik routing, BGP, MPLS, RIP, OSPF protokollerini destekler.
ipv6: Yeni nesil ip protokolü ile ilgili destekleri içerir.
hotspot: Wireless konusunda belirttiğimiz bir erişim sağlama teknolojisi olan hotspot uygulamasını içerir. Aynı zamanda hotspot için gerekli olan diğer paketleride sunar.
wireless: Wireless sistemi için gereken teknolojiyi sağlar.
ntp: Network Time Protokol uzak zaman sunucusu konusunda gereken uygulamaları sağlar.
ups: Mikrotik’in bir UPS bağlantısı olması durumunda ups’in durum takibini yapmak ve bu duruma göre gerekirse kendisini güvenli olarak shutdown edebilmesi için gereken uygulamayı içerir.
gps: GPS sistemi ile ilgili verileri kullanmanız için gereken pakettir.
dude: Dude Mikrotik tarafından geliştirilmiş Windows tabanlı bir monitoring yazılımıdır. Özellikle RouterOS ile uyumluluk üzerine tasarlandığından geniş bir routerOS networkünün hız-uptime-erişim konularında izlenmesi ve kolay yönetilebilmesi için gereken yönetim servislerini sağlamaktadır. Bu paket ise bu sistemin dude tarafından takip edilmesini isterseniz gelişmiş özellikleri bünyesinde barındırır.
routerboard: RouterOS’un bir routerboard donanımı üzerine kurulması duurmunda gereken pakettir.
user-manager: bu paket Hotspot ve PPPOE hizmeti sunmak isterseniz mikrotik tarafından sağlanan tamamen web tabanlı çalışan hatta PAYPAL ve AUTHORIZE.Net üzerinden para tahsilatı yaparak erişim ve servis satışınıza izin veren pakettir. Bu konuda diğer dökümanlarımızı inceleyebilirsiniz.
multicast:
multicast yayın yapabilmenizi sağlar.
mpls: Mpls routing protokolü için gerekli olan pakettir.
isdn: ISDN donanımı ve hat kullanımı ile ilgili pakettir.
lcd: RouterOS eğer bir embeded sistem üzerinde çalışırsa bu cihaz üzerinde bulunan LCD ekrana cpu, trafik vs gibi bilgileri dökmeye yarayan pakettir.

Kurulum sırasında elinizi korkak alıştırmak alıştırmak yerine tüm paketleri seçerek kurulum yapmanız durumunda da sorunsuz çalışacaktır.

Mikrotik Nedir?

admin — Sat, 13 Sep 2008 18:07:10 +0000

Mikrotik;

Linux kerneli üzerine geliştirilmiş bir işletim sistemi(routerOS) ve bu sistem üzerinde aşağıdaki özelliklerive uygulamaları kullanmanıza imkan sağlar;

Firewall: mikrotik yaklaşık 120 farklı parametreye göre firewall uygulamalarınızda görev alabilir. Bu işlemleri yaparken geniş bir log tutabilir, NAT-Masquering yapabilirsiniz.
VPN: Ofisinizdeki bir networkü başka bir ofisteki network ile tek bir parçaymış gibi çalıştırabilir. Bu ağları %100 güvenli olarak birbiri ile görüştürebilirsiniz. Bunun yanı sıra kullanıcı veritabanı vasıtası ile kullanıcılarınıza user-şifreler yaratarak dışarıdan ofis networkünüze %100 güvenli olarak eriştirebilirsiniz.
PPP: Dilerseniz mikrotik sisteminize modem ekleyerek dial-up erişim sağlayabilirsiniz. Aynı şekilde sunucunuz üzerindeki VPN kullanıcılarınıda bu sistem üzerinden erişim de sunabilirsiniz.
Wireless: Mikrotik firmasının üretimi olan kartları ve sistemleri kullanarak 50km mesafede 40-50 mbit kapasitelerde verileri wireless sistemler ile sağlayabilirsiniz.
Hotspot: En kaba örnekleme ile TTWINET modelinde otel-cafe-park-okul-kampüs-özel merkezlerde uygulama yaparak kullanıcı adı ve şifre doğrulaması ile internet erişimi sunabilirsiniz. Bu sistem ile internet erişimi satışıda yapmanız mümkündür.
Web Proxy: Özellikle ofis ve cafe gibi noktalarda erişimlerin denetlenmesi ve loglanması işleri için proxy sistemini kullanabilirsiniz.
DHCP Server/Client: Mikrotik’i bir dhcp server olarak kullanabilir, relay server olarak ayarlayabilir veya ağınızdaki bir başka dhcp serverdan veri alması için client olarak düzenleyebilirsiniz.
DNS Server/Client: Mikrotik dns server-client olarak görev yapabilmektedir.
Trafik Limitleme: Ağınızda bulunan kullanıcılara anlık trafik limitleri verebilir. Grup ve networklere aynı şekilde limit uygulayabilirsiniz.
Qos: Erişimlerinizdeki paket ve verilerin önceliklerini belirleyerek kritik dataların daha hızlı çalışmasını sağlayabilirsiniz.
Routing (Statik-BGP-OSPF-MPLS-RIP): Mikrotik ağlar arasındaki geçişi sağlayabilmeniz için şuanda IPV4 ve IPV6 standartlarındaki tüm routing protokollerini desteklemektedir.

alanlarında sorunsuz kullanabileceğiniz bir sistemi üretmiş;

Bunun yanı sıra RouterBoard ürünleri ile Wireless ve Routing alanındada ürün geliştirmekte olan bir markadır.

Bu konu hakkında detaylı bilgilere ana grubumuzdan Mikrotik Kimdir sayfamızı inceleyerek ulaşabilirsiniz.