نحوه باز کردن دسترسی به سرور نحوه دسترسی به آدرس IP خارجی از شبکه محلی برای MikroTik

توجه! هنگام ایجاد قوانین برای مسدود کردن دسترسی به سرور توسط IP از راه دور باید مراقب باشید! به طور تصادفی خود را بلاک نکنید ;-)

بخش مدیریت را باز کنید سیاست محلیامنیت ( امنیت محلیخط مشی). برای انجام این کار، منو را فشار دهید Start => Administrative Tools => Local Security Policy.

در پنجره ظاهر شده روی شاخه کلیک راست کنید «سیاست امنیتی IP روشن است کامپیوتر محلی» (سیاست های امنیتی IP در رایانه محلی). از منوی زمینه، را انتخاب کنید "افزودن خط مشی امنیتی" (سیاست امنیتی ایجاد کنید).



جادوگر سیاست امنیتی جدید شروع خواهد شد. کلیک "به علاوه" (بعد).



در مرحله بعد یک نام برای سیاست جدید ارائه کنید. مثلا "مسدود کردن آدرس های IP ناخواسته". توضیحات اختیاری است کلیک "به علاوه" (بعد).



سپس در آوردنگزینه "فعال کردن قانون پیش فرض" (قانون پاسخگویی پیش فرض را فعال کنید) و فشار دهید "به علاوه" (بعد).



در آخرین مرحلههمه چیز را همانطور که هست رها کنید و روی دکمه کلیک کنید "آماده" (پایان).



پنجره خواص برای سیاست ایجاد شده باز می شود. روی زبانه "قوانین" (قوانین) تیک گزینه را بردارید "استفاده از استاد" (از Add Wizard استفاده کنید) و روی دکمه کلیک کنید "اضافه کردن" (اضافه کردن).


یک پنجره ظاهر می شود "گزینه های قانون جدید" (ویژگی های قانون جدید). روی زبانه "فیلتر آدرس IP" (لیست فیلتر IP) روی دکمه کلیک کنید "اضافه کردن" (اضافه کردن).


در پنجره ای که ظاهر می شود، در فیلد "نام" (نام) نام گروه آدرس های IP مسدود شده را وارد کنید. مثلا: "بلاک حمله". گزینه حذف "استفاده از استاد" (از Add Wizard استفاده کنید) و روی دکمه کلیک کنید "اضافه کردن" (اضافه کردن).



در پنجره خصوصیات فیلتر IP، در برگه "آدرس ها" (آدرس ها) در فصل "منبع" (آدرس منبع) ترک کردن "آدرس IP من" (آدرس IP من).

در فصل "مقصد" (آدرس مقصد) انتخاب کنید "آدرس IP خاص" (یک آدرس IP خاص) یا "زیر شبکه" (یک زیرشبکه IP خاص) و آدرس(های) IP که می خواهید دسترسی به سرور را رد کنید را مشخص کنید.

گزینه "آینه" (آینه شده) ترک فعال است.


روی زبانه "پروتکل" (پروتکل، می توانید پروتکلی را که فیلتر برای آن اعمال می شود انتخاب کنید. به طور پیش فرض، فیلتر برای همه پروتکل ها استفاده می شود.


روی زبانه "شرح" (شرح) می توانید یک توضیح فیلتر را مشخص کنید. این توضیحات در لیست فیلتر استفاده می شود تا بعداً فیلتر را برای شما راحت تر پیدا کنید. بهتر است آدرس IP مسدود کننده را به عنوان توضیحات مشخص کنید.


روی دکمه کلیک کنید خوببرای ایجاد یک فیلتر به پنجره برمی گردی "لیست فیلترهای IP" (لیست فیلتر IP) که فیلتری را که ایجاد کرده اید نمایش می دهد.



روی دکمه کلیک کنید خوببرای بستن لیست فیلترهای IP. به پنجره برمی گردی "گزینه های قانون جدید" (ویژگی های قانون جدید). لیست جدید ایجاد شده در لیست لیست های فیلتر IP ظاهر می شود. آن را انتخاب کنید.


به برگه بروید "اقدامات" (عمل فیلتر). گزینه حذف "استفاده از استاد" (از Add Wizard استفاده کنید) و روی دکمه کلیک کنید "اضافه کردن" (اضافه کردن).


در پنجره ای که ظاهر می شود، در برگه "حفاظت" (روش های امنیتی) گزینه را تنظیم کنید "مسدود کردن" (مسدود کردن).


به برگه بروید "عمومی" (عمومی) و در میدان "نام" (نام) نامی برای عمل ارائه دهید. مثلا: "مسدود کردن".


روی دکمه کلیک کنید خوب. اقدام جدید ایجاد شده در لیست اقدامات ظاهر می شود. آن را انتخاب کنید.


روی دکمه کلیک کنید خوب.

همه چیز، سیاست ایجاد شده است. برای فعال کردن آن، روی نام سیاست کلیک راست کرده و انتخاب کنید "فعال کردن" (اختصاص دهید).



به طور مشابه، از طریق منوی زمینه، می توانید سیاست ایجاد شده را غیرفعال کنید.

در ویژگی های سیاست ایجاد شده، می توانید به راحتی موارد ناخواسته را اضافه کنید آدرس های IP.

با استفاده از VPN (شبکه خصوصی مجازی) می توانید کامپیوتر خود را از طریق اینترنت به سرور متصل کنید. این به شما امکان می دهد منابع شبکه راه دور را به درستی توزیع کنید و همچنین سرور را به ترتیب صحیح پیکربندی کنید.

دستورالعمل

  • ویندوز را برای اتصال صحیح به سرور تنظیم کنید. معمولا نرم افزار مورد نیاز برای ایجاد یک VPN، در سیستم عامل گنجانده شده است ویندوز سرور. بهتر است آن را نصب کنید تا تجهیزات شبکه اضافی خریداری نکنید.
  • ویندوز سرور را بوت کنید و روی دکمه Start کلیک کنید، برنامه ها، Administrative Tools و Server Configuration Wizard را انتخاب کنید. باز کن " دسترسی از راه دور/ VPN-North" در لیست خدمات.
  • روی دایره سمت چپ Virtual Private کلیک کنید شبکه VPNو NAT. در صورت وجود، آداپتور شبکه ای را که رایانه شما را به اینترنت متصل می کند، انتخاب کنید.
  • گزینه اختصاص خودکار آدرس IP را انتخاب کنید. برای رفتن به صفحه «مدیریت چندین سرور دسترسی از راه دور»، «نه، از مسیریابی و دسترسی از راه دور برای تأیید اعتبار درخواست‌های اتصال استفاده کنید» را مشخص کنید.
  • روی دکمه "شروع" کلیک کنید، "برنامه ها"، "ابزارهای مدیریتی" را انتخاب کنید و " را باز کنید کاربران فعالو کامپیوترها به بخش "دسترسی از راه دور" بروید و به تب "Properties" بروید. برای هر یک از کاربرانی که می خواهید از طریق VPN به سرور اجازه دسترسی داشته باشند، «Allow access» را مشخص کنید.
  • به نام رایانه ای که می خواهید از طریق اینترنت به سرور متصل شوید بروید. کلید "Start" را فشار دهید، "Control Panel"، سپس "Network and Internet"، "Network and Switching Center" و "Set up a new connection or network" را فشار دهید.
  • Workplace Connection، Use My Internet Connection را انتخاب کنید و آدرس IP روتر را برای اتصال سرور به آن وارد کنید. برای پیدا کردن این آدرس، صفحه پیکربندی روتر را باز کنید.
  • نام کاربری و رمز عبور را وارد کنید حسابکه از طریق آن به VPN دسترسی پیدا می کند. برای اتصال به سرور از اتصال VPN استفاده کنید.
    • به این مقاله امتیاز دهید

    روش باز کردن دسترسی به سرور شامل اعطای دسترسی به پوشه شبکه انتخابی یا اشتراک گذاری پوشه است. مشکل حل شد به معنی استانداردسیستم عامل ویندوز و نیازی به هیچ چیز اضافی ندارد نرم افزار. در این حالت ویندوز سرور 2003 در نظر گرفته شده است.

    دستورالعمل

    با اصلی تماس بگیرید منوی سیستمبا زدن دکمه Start و رفتن به All Programs. پیوند "استاندارد" را گسترش دهید و " Windows Explorer". پوشه ای را که می خواهید به آن اجازه دسترسی بدهید پیدا کنید و با کلیک روی دکمه سمت راست ماوس، منوی زمینه آن را فراخوانی کنید. مورد "Properties" را انتخاب کنید و چک باکس را در خط "Open دسترسی عمومیبه این پوشه" کادر محاوره ای که ظاهر می شود.

    نام مورد نظر ایجاد شده را تایپ کنید منبع شبکهدر ردیف «اشتراک‌گذاری» و کادر تأیید را در ردیف «حداکثر مجاز» در بخش «محدودیت کاربر» اعمال کنید. برای افزودن کاربرانی که به پوشه انتخابی دسترسی دارند، روی دکمه «مجوزها» کلیک کنید و از دستور «افزودن» استفاده کنید. کاربر مورد نظر را از لیست موجود در کادر محاوره ای جدید انتخاب کنید و چک باکس را برای تعریف حقوق دسترسی اعمال کنید:

    دسترسی کامل؛
    - تغییر دادن؛
    - خواندن

    انتخاب خود را با فشار دادن دکمه OK تأیید کنید.

    با کلیک بر روی دکمه "Advanced" به امکان تنظیمات پیشرفته برای مجوزهای دسترسی توجه کنید. تیک خط "Allow inheritance..." را بردارید، زیرا در غیر این صورت کاربر انتخاب شده حقوقی را از سطح بالاتر دریافت می کند (معمولاً از دیسکی که "فقط خواندن" به طور پیش فرض برای همه تنظیم شده است). چک باکس را در خط "Replace permissions" اعمال کنید و با کلیک روی دکمه "Apply" ذخیره تغییرات انجام شده را تأیید کنید. به خاطر داشته باشید که مدت زمانی که ممکن است طول بکشد تا فرآیند تخصیص حقوق انجام شود به اندازه آن بستگی ندارد، بلکه به تعداد فایل های موجود در پوشه بستگی دارد. بنابراین، ممکن است مدت زمان زیادی طول بکشد. منتظر بمانید تا فرآیند تکمیل شود و رویه فوق را برای هر کاربر یا گروه کاربری که می خواهید به سرور اجازه دسترسی دهید تکرار کنید.

    تنها تعداد کمی از کاربران می دانند که می توان یک شبکه محلی خانگی را راه اندازی کرد به گونه ای که همه رایانه های موجود در آن بتوانند بدون خرید تجهیزات گران قیمت به اینترنت دسترسی داشته باشند.


    شما نیاز خواهید داشت

    دستورالعمل

    ابتدا کامپیوتری را انتخاب کنید که مستقیماً به اینترنت متصل باشد. در این صورت دارد سیستم عامل ویندوز ویستا. اگر این رایانه فقط یک آداپتور شبکه دارد، یک کارت شبکه دوم خریداری کنید. اتصال دو کامپیوتر به یک شبکه محلی ضروری است.

    یک کابل شبکه با طول مناسب خریداری کنید. آن را به یکدیگر متصل کنید کارت های شبکههر دو کامپیوتر کابل ارائه دهنده را به آداپتور شبکه دوم رایانه انتخابی وصل کنید. در این حالت روش دسترسی به اینترنت (از طریق پورت LAN یا مودم DSL) کاملا بی ربط است.

    اولین کامپیوتر را روشن کنید. لیست موجود را باز کنید اتصالات شبکه. آداپتور شبکه ای که به رایانه دیگر متصل است را انتخاب کنید. خواص آن را باز کنید. "پروتکل اینترنت TCP/IPv4" را انتخاب کنید. روی دکمه Properties کلیک کنید. گزینه Use the following IP address را برجسته کنید. مقدار IP را برای این کار تنظیم کنید آداپتور شبکه، برابر با 25.25.25.1.

    اگر این عملیات هنوز کامل نشده است، اتصال اینترنت را تنظیم کنید. به مشخصات این اتصال بروید. برگه «دسترسی» را انتخاب کنید. به دنبال «اجازه دادن به رایانه‌ها برای استفاده از این اتصال اینترنت» بگردید. شبکه محلی". شبکه ای را که دو کامپیوتر شما تشکیل می دهند را مشخص کنید. تنظیمات خود را ذخیره کنید.

    کامپیوتر دوم را روشن کنید. لیست اتصالات شبکه موجود را باز کنید. به ویژگی های پروتکل TCP/IPv4 بروید. اگر رایانه دوم دارای ویندوز XP است، به پروتکل TCP/IP نیاز دارید.

    گزینه "Use the following IP address" را فعال کنید. مقدار آن را برابر با 25.25.25.5 وارد کنید. کلید Tab را فشار دهید تا ماسک زیر شبکه به طور خودکار دریافت شود. آیتم های «دروازه پیش فرض» و «سرور DNS ترجیحی» را پیدا کنید. آنها را با آدرس IP کامپیوتر اول پر کنید. تنظیمات شبکه خود را ذخیره کنید.

    فرض کنید راه اندازی کرده اید، و همه چیز از طریق شبکه خارجی به خوبی کار می کند. اما گاهی اوقات ممکن است لازم باشد دسترسی به رایانه یا سرور با استفاده از یک آدرس IP خارجی نه تنها از خارج، بلکه از شبکه محلی نیز سازماندهی شود. در این مورد، به اصطلاح Hairpin NAT یا NAT LoopBack استفاده می شود - دریافت و ارسال بسته ها از طریق همان رابط روتر، با تغییر آدرس از محلی به خارجی و بالعکس. بیایید تنظیمات لازم را تجزیه و تحلیل کنیم.

    بیایید بگوییم که داریم:

    1. روتر با IP خارجی (WAN IP) 1.1.1.1.
    2. کامپیوتری با آدرس محلی 192.168.88.229 و سرور، برنامه کاربردی و غیره که برای دسترسی از یک شبکه خارجی روی آن اجرا می شود. در مورد ما، پورت 8080 برای اتصال استفاده می شود.
    3. یک کامپیوتر در شبکه محلی با آدرس 192.168.88.110.

    ما قبلاً یک قانون حمل و نقل پورت پیکربندی شده 8080 داریم:



    اما در صورت دسترسی از ناحیه محلی کار نخواهد کرد، زیرا تنظیمات از طریق پورت WAN بر روی بسته های شبکه خارجی متمرکز شده است. بنابراین، باید 2 قانون دیگر اضافه کنیم.

    پیکربندی دسترسی از شبکه محلی با استفاده از یک آدرس IP خارجی

    1. یک قانون برای تغییر مسیر درخواست ها از طریق IP خارجی از شبکه محلی ایجاد کنید.

    برگه عمومی.

    زنجیر- dstnat.

    src. نشانی- ما در اینجا آدرس محلی رایانه ای را می نویسیم که از طریق IP خارجی از آن وارد می شویم یا در صورت نیاز به ارائه چنین دسترسی به چندین رایانه در شبکه، طیف وسیعی از آدرس ها را می نویسیم.

    Dst. نشانی- آدرس خارجی رایانه / سرور و غیره را که از منطقه محلی قابل دسترسی است را مشخص کنید.

    پروتکل، dst. بندر- در اینجا ما پارامترهای پورت و پروتکل را که با اتصال ما مطابقت دارد را تجویز می کنیم (همانطور که در حمل و نقل پورت وجود دارد).


    برگه اقدام.

    به آدرس ها- آدرس محلی سرور خود را مشخص کنید، رایانه ای که با استفاده از آدرس IP خارجی به آن دسترسی داریم.

    به بنادر-پورت مانند برگه قبلی است، بنابراین نمی توانید چیزی را در اینجا بگذارید.


    اکنون می توانید به کامپیوتر 192.168.88.229 برویداز شبکه محلیتوسط آدرس IP خارجی 1.1.1.1.

    اما وقتی سعی می کنید با او تعامل کنید، هیچ اتفاقی نمی افتد. چرا؟ بزار ببینیم چی میشه.

    • کامپیوتر ما (192.168.88.110) بسته ای را به آدرس خارجی سرور ارسال می کند که به ترتیب آدرس روتر نیز می باشد - 1.1.1.1.
    • روتر وفادارانه آن را مطابق قانون dst-nat ما به رایانه ای با آدرس 192.168.88.229 هدایت می کند.
    • او آن را می پذیرد و پاسخ می دهد. اما از آنجایی که آدرس IP محلی را به عنوان آدرس منبع می بیند (بالاخره، بسته از یک رایانه در شبکه محلی آمده است)، پاسخ را نه به روتر، بلکه مستقیماً به گیرنده ارسال می کند.
    • گیرنده (192.168.88.10) داده ها را از طریق IP خارجی ارسال می کند و پاسخ نیز از IP خارجی انتظار می رود. پس از دریافت یک بسته از 192.168.88.229 محلی، آن را به سادگی به عنوان غیر ضروری دور می اندازد.


    بنابراین، به قانون دیگری نیاز داریم که در هنگام ارسال یک بسته به یک IP خارجی، جایگزین آدرس منبع محلی شود.

    2. آدرس محلی رایانه را با یک آدرس IP خارجی جایگزین می کنیم.

    در تب Action، maskarade را تنظیم کنید، یعنی آدرس منبع را به آدرس محلی روتر تغییر دهید.

    در برگه عمومی، قوانینی را که بر اساس آن اعمال خواهد شد را تجویز می کنیم:

    زنجیر- srcnat، به عنوان مثال برای درخواست از شبکه محلی.

    src. نشانی- ما در اینجا آدرس محلی رایانه یا محدوده آدرس هایی را که بسته ها از آن ارسال می شوند، می نویسیم.

    Dst. نشانی- در اینجا ما "آدرس گیرنده" را مشخص می کنیم، یعنی این قانون فقط برای بسته های خطاب شده به سرور ما اعمال می شود.

    پروتکل، dst. بندر- در اینجا ما همان پارامترهای پورت و پروتکل را تجویز می کنیم.



    اکنون با دریافت بسته ای از شبکه محلی به آدرس IP خارجی 1.1.1.1، روتر نه تنها آن را به 192.168.88.229 هدایت می کند (طبق قانون اول)، بلکه آدرس منبع (192.168.88.110) را نیز جایگزین می کند. بسته با آدرس محلی آن

    بنابراین پاسخ سرور مستقیماً به شبکه محلی نمی‌رود، بلکه به روتر می‌رود، که به نوبه خود آن را به منبع ارسال می‌کند.


    روش دوم Hairpin NAT MikroTik: 2 قانون به جای 3

    می توانید با جایگزین کردن قانون حمل و نقل پورت با اولین قانون Hairpin NAT کار را آسان تر کنید. در این صورت نیازی نیست که در تنظیمات In را مشخص کنید. رابط و آدرس Src، اما باید آدرس مقصد را بنویسید.

    دسترسی به آدرس IP خارجی سرور یا رایانه شما با برنامه، هم برای تماس از خارج و هم از شبکه محلی، از هر آدرسی باز خواهد بود، اما فقط برای بسته هایی با آدرس مقصد 1.1.1.1:80.

    حالا قانون srcnat که در بالا توضیح داده شد را اضافه کنید و تمام. در صورت لزوم، می‌توانید با تعیین رابطی که بسته‌ها از آن ارسال می‌شوند، فیلتر اضافی اضافه کنید.

    نقطه ضعف Hairpin NAT فقط این است که بار روی روتر افزایش می یابد، زیرا آن تماس هایی که قبلاً از طریق شبکه محلی مستقیماً بین رایانه ها انجام می شد اکنون از طریق روتر انجام می شود.

    روش دوم ساده تر است، اما بسته به پیکربندی شبکه شما، می توان از روش اول نیز استفاده کرد.

    UPD: روش های پیکربندی ذکر شده در این مقاله را دوباره با یک مثال آزمایش کردیم، و همچنین تنظیمات پیشنهاد شده در نظرات. همه آنها کار می کنند.


    سایت اینترنتی