Firewall ‘da bazı kurallar’ın birden fazla interface için gerçekleştirilmesi gerekebilmekte . bu gibi durumlar da her interface için ayrı firewall kuralı oluşturmak yerine mikrotik bu konuda Hem Firewall hemde benzeri alanlarda Interface-List mimarisini geçtiğimiz versiyonlarda tanıttı .

bu özellik ne sağlıyor ?
Öncelikli olarak her bir firewall kuralı Memory / CPU ilişkisinde önemli bir rol oynamakta. bu tarafta 5 farklı interface için aynı kuralı yazmanız gerektiğinde
5 kez kontrol edilecek bir iş 1 seferde yazılabilmekte ve kontrol edilebilmekte .

Örnek olarak aşağıdaki Firewall kuralını inceleyelim.

Senaryo ‘ya göre cihazımızda 5 tane ADSL Modemimiz var ( PPPoE Client ) ve her ADSL Modem için Dışarıdan gelen UDP:53,123 ( DNS ve NTP) isteklerini engellemek istiyoruz . aynı zamanda bu DSL portları üzerinden dışarı doğru gerçekleşecek trafikler için ‘de masquerade tanımlamak istiyoruz.

Mevcut ‘da kuralımız şu şekilde olması gerekiyor.
Interface ‘lerin isimleri :ADSL_1,ADSL_2,ADSL_3,ADSL_4,ADSL_5 olarak kabul ediyoruz ;

/ip firewall filter 
add chain=input in-interface=ADSL_1 dst-port=53,123 action=drop
add chain=input in-interface=ADSL_2 dst-port=53,123 action=drop
add chain=input in-interface=ADSL_3 dst-port=53,123 action=drop
add chain=input in-interface=ADSL_4 dst-port=53,123 action=drop
add chain=input in-interface=ADSL_5 dst-port=53,123 action=drop
/ip firewall nat 
add chain=src-nat out-interface=ADSL_1  action=masquerade
add chain=src-nat out-interface=ADSL_2  action=masquerade
add chain=src-nat out-interface=ADSL_3  action=masquerade
add chain=src-nat out-interface=ADSL_4  action=masquerade
add chain=src-nat out-interface=ADSL_5  action=masquerade

bu şekilde her satırda yönetmesi ve işlemde iş yükü olarak’da bir engel oluşturacaktır . bunun yerine aşağıdaki gibi bir örnek ile süreç hem yönetim ‘de hemde işlemci / ram ilişkisinde daha fadalı olacaktır .

/interface list add name=WAN
/interface list member
add interface=ADSL_1 list=WAN
add interface=ADSL_2 list=WAN
add interface=ADSL_3 list=WAN
add interface=ADSL_4 list=WAN
add interface=ADSL_5 list=WAN

/ip firewall filter  add chain=input in-interface-list=WAN dst-port=53,123 action=drop
/ip firewall nat add chain=src-nat out-interface-list=WAN  action=masquerade

bu örneklere bakarak senaryoyu istediğiniz kadar genişletebilirsiniz.

Categories:

Comments are closed