همانطور که می دانید کاربران علاقمند هستند که فایل هایی با حجم بالا را دانلود کنند و از طرفی مدیران شرکت ها تمایلی به این امر نداشته و هزینه پرداخت اینترنت برای آنها سنگین تمام می شود. بنابراین در این مقاله می خواهیم نحوه چگونگی Block کردن دانلود فایل هایی با حجم بالا (در این مقاله بیش از 10 مگابایت) را بر روی روتربردهای میکروتیک آموزش دهیم.

روش انجام کار

در این مقاله می خواهیم حجم دانلود را بر اساس مبدا و مقصد Block کینم. بطور مثال، در یک شرکت اگر میزان حجم دانلود محدود نباشد همه کاربران می تواند از یک سرور در اینترنت فایل هایی به اندازه 10 مگابایت را دانلود کنند و مجدد نیز می توانند از یک سرور دیگر نیز یک فایلی به همین حجم را دانلود کنند. بنابراین به سرعت حجم دانلود اینترنت تمام می شود.

برای شروع کار ما منبع و مقصد دانلود را با Source Address List و Destination Address List مشخص می کنیم و بعد برای این آدرس ها دانلود بیش از 10 مگابایت را مسدود خواهیم کرد.

برای انجام این کار به سه Rules احتیاج داریم:

1. یک Address List درست کنید و IP Address های کلاینت هایی که قصد دانلود دارند در آن اضافه کنید.

2. یک Address List درست کنید و Destination Address هایی که که کاربران می خواهند از آن دانلود کنند را اضافه کنید.

3. هر دانلود (Session) که اندازه اش بیشتر از 10 مگابایت است را Block کنید.

برای انجام این کار یک New Terminal در روتر میکروتیک خود باز کنید و دستورات زیر را در آن اجرا نمایید:

ip firewall filter/

add action=add-src-to-address-list address-list=Src address-list-timeout=1h \

chain=forward connection-bytes=1970000-0 disabled=no protocol=tcp \

src-address=192.168.0.0/24

add action=add-dst-to-address-list address-list=Dst address-list-timeout=1h \

chain=forward connection-bytes=1970000-0 disabled=no protocol=tcp \

src-address=192.168.0.0/24

add action=drop chain=forward disabled=no dst-address-list=Dst protocol=tcp \

src-address-list=Src

در این مثال، همه ی کلاینت هایی که در رنج شبکه  192.168.0.0/2 هستند و دانلود بیش از 10 مگابایت دارند را مشخص کرده ام و در Rule آخر، تعیین کرده ام که به اندازه 1 ساعت Session  آنها قطع شود.

 لازم است این نکته یادآوری شود که مقدار نمایش داده شده در قسمت Connection – byte، عددی است که به ازای هر کانکشن در نظر گرفته می‌شود. در مثال ذکر شده، این عدد معادل 1.8 بایت است. زمانی که از IDM برای دانلود یک فایل استفاده می‌شود؛ در صورتی که محدودیتی برای Connection – byte ها تعیین نشده باشد، سقف دانلود در هر کانکشن محدود نمی‌شود. ولی در این حالت به هر کانکشن فقط تا سقف 1.8 بایت اجازه دانلود داده می‌شود و چون IDM به صورت پیش فرض، جهت دانلود فایل درخواستی 8 کانکشن را به سمت سایت مقصد ارسال می‌کند، مجموع 8 کانکشن 1.8 بایتی، حدود 12 مگ شده و بعد از رسیدن حجم فایل دانلود شده به این مقدار دانلود کاربر متوقف می‌شود.

 توجه داشته باشید در صورتی که فایل از طریق بروزر دانلود شود، بعد از دانلود 1.8 بایت از فایل مورد نظر، دانلود کاربر متوقف می‌شود چرا که بروزر برخلاف IDM، تنها یک کانکشن را به سایت مقصد ارسال می‌کند.

اگر کاربری بخواهد بیشتر از 40 مگابایت دانلود کند، هر 10 مگابایتی که دانلود می کند به اندازه یک ساعت باید منتظر بماند. همچنین شما می توانید مقدار حجم دانلود را تغییر بدهید و یا این راهکار را برای فایل هایی با پسوند (mp3, avi, flv, zip, … ) نیز اجرا کنید.

NAT مخفف عبارت Network Address Translate است. در واقع پروتکلی است که وظیفه برقراری ارتباط بین کاربران شبکه محلی با دنیای اینترنت را دارد که این عملیات را با تبدیل IP Private کاربران شبکه محلی به IP Valid و شناخته شده در دنیای اینترنت انجام می دهد. این امکان زمانی استفاده می شود که کاربران شبکه محلی که دارای IP Address غیر معتبر هستند بخواهند با اینترنت ارتباط برقرار کنند.

روش کار سرور Nat به این صورت است که هنگام اتصال شما به شبکه اینترنت، IP سیستم شما را گرفته و یک IP دیگر به شما می دهد بدین صورت شما را به اینترنت متصل می کند این IP ها در جدولی به نام NAT Table ذخیره می شود و در زمان بازگشت IP اختصاص داده به شما از طرف سرور NAT پس گرفته می شود و IP خودتان به شما باز می گردد. 

یکی از وظایف مهم فایروال، انجام عمل Nat (ترجمۀ آدرس شبکه) روی پکت‎ها است. دو نوع NAT در فایروال قابل تعریف است:

  • Static
  • Dynamic

بر اساس اینکه Static NAT و یا Dynamic NAT روی آدرس مبدأ انجام شود یا آدرس مقصد، دو حالت برای NAT تعریف می شود:

  • Source NAT: یعنی جایگزین کردن IP مبدأ با یک IP که در خارج از LAN معتبر است در پکت هایی که از LAN خارج می‎شوند.
  • Destination NAT: یعنی جایگزین کردن IP مقصد با یک IP که در داخل LAN معتبر است در پکت هایی که به LAN داخل می‎شوند.

Destination NAT چیست و چگونه کار می کند؟

Dst nat برگرفته شده از عبارت Destination Address Translation می باشد. یعنی یک آدرس عمومی را به یک آدرس خصوصی تبدیل می کند، یعنی اینکه اجازه دسترسی به یک آدرس خصوصی یا Invalid داخل شبکه محلی شما را می دهد.

فرض کنید یک IP valid برروی یکی از تجهیزات میکروتیک داخل شبکه خود Set کرده اید و می خواهید روی یکی از سیستم های داخل شبکه خود Web Server راه اندازی کنید. برای اینکه Server شما از هر جایی قابل دسترس باشد شما نیاز به یک IP valid روی سرور خود دارید اما سرور شما دارای یک IP Invalid می باشد و از بیرون شبکه قابل رویت نیست. بنابراین شما می توانید با نوشتن رول Destination Nat به راحتی IP Valid را به سمت Server خود هدایت کنید.

به عنوان مثال فرض کنید می خواهید از بیرون از شبکه داخلی خود به صورت Remote Desktop تنظیمات سرور خود را مشاهده کنید. برای انجام اینکار باید پورت 3389 که مخصوص Remote Desktop می باشد را روی IP valid باز کنیم که قابل دسترس باشد.

Ip Server: 192.168.1.4

ip valid MikroTik: 94.188.6.62

port: 3389

حال New Terminal روتربرد میکروتیک خود را باز کنید و دستور زیر را در این صفحه تایپ نمایید:


ip firewall nat add chain=dstnat protocol=tcp dst-address=94.188.6.62 dst-port=3389/

action=dst-nat to-addresses=192.168.1.4 to-ports=3389

نوشتن این رول باعث می شود که شما اگر IP valid میکروتیک را در Remote Desktop وارد کردید و درخواست دسترسی به سرور خود را داشتید، IP Valid را روی IP Invalid سرور شما می اندازد .