Mikrotik Router এর বেসিক Firewall configure করার জন্য সাইটমেনুবার থেকে IP>Firewall এ ক্লিক করুন। তারপর Filter Rules Tab এ ক্লিক করুন। এখানে Add (+) বাটন এ ক্লিক করুন। তারপর নিচের Parameter গুলি খেয়াল করুন।
Chain=Inputএর ফলে বাহিরের যেকোনো জায়গা থেকে আপনার Router কে পিং করে পাওয়া যাবে।
Protocol= 1(icmp)
Action=accept
Chain=Inputএইভাবে আপনার NTP Server এর আইপি ও অন্যান্য প্রয়োজনীয় আইপি, পোর্ট সমূহ Add করে নিন।
Src Address=A Real IP/Real IP Block (এইখানে আপনি একটি রিয়াল আইপি অথবা একটি রিয়াল আইপি ব্লক দিতে পারেন, যেসব আইপি থেকে আপনার Router এ winbox দিয়ে লগইন করা যাবে অথবা অন্য কোন সেবা পাওয়া যাবে) যেমন 115.144.0.0/21আপনি যদি কোন পোর্ট, প্রটোকল উল্লেখ না করেন তবে সকল পোর্ট এবং প্রটোকল accept বলে গণ্য হবে।
Action=accept
সকল অপ্রয়োজনীয় আইপি গুলিকে drop করে দিন। যেমন –
Chain=Input
Src. Address= ! 115.144.0.0/21 (! এর মানে Not)
Action=drop
এখানে উল্লেখ্য যে সকল আইপি গুলিকে আপনি ড্রপ করবেন। ওই সকল আইপি থেকে আপনার Router কে Access করা যাবে না। উদাহরণ ! 115.144.20.0/21 তারমানে হচ্ছে 115.144.20.0/21 এই আইপি ব্লক ছাড়া আর অন্য কোন আইপি থেকে Mikrotik এ অ্যাক্সেস করা যাবে না। তাই Firewall তৈরি করার সময় অধিক সতর্কতা অবলম্বন করুন। প্রথমে আপনার প্রয়োজনীয় সকল আইপি গুলিকে accept করে নিন। তারপর অপ্রয়োজনীয় আইপি গুলিকে ড্রপ করুন। Accept Rules and Drop Rule এর sequence mix করে ফেলবেন না। আপনার তৈরি করা ড্রপ Rules সমূহ অবশ্যই accept Rules এর নিচে রাখুন।
Security’র আরও জোরদার করতে আপনার ইউজার নেম পাল্টে ফেলুন। সাধারনত Mikrotik এ ডিফল্ট ইউজার নেম admin হয়। Mikrotik এর ইউজার নেম Create/Change/Permission Change/Password create or change ইত্যাদির জন্য System>User এ ক্লিক করুন। প্রথম আপনার নিজস্ব একটি ইউজার তৈরি করুন Users> + (add), user name and Group (full, write, read) তারপর প্রয়োজনে allowed Address এর ঘরে যে আইপি/আইপি ব্লক থেকে আপনার Mikrotik a login করতে চান তা উল্লেখ করুন। তারপর আপনার system এর default user (admin) এর জন্য একটি password set করুন অথবা disable করে দিন।
ARP (MAC) Bonding:
নেটওয়ার্ক Administration এর একটি কাজ হচ্ছে আপনার Router এর Client IP সমূহের MAC address আপনার Router এ bonding করে রাখা। এতে করে এক পিসি’র আইপি অন্য পিসি’তে ব্যাবহার রোধ করা যায়।
কেন করবেনঃ সংক্ষেপে হল, এক ইউজার এর Bandwidth ও অন্যান্য সেটিংস্ যাতে অন্য ইউজার তার অবর্তমানে তার আইপি ব্যাবহার করে use না করতে পারে তাই এই ARP Bonding.
এর জন্য প্রথমে IP>ARP তে ক্লিক করুন। এখানে আপনার Router এর সাথে connected সকল আইপি সমূহের MAC address শো করবে। এখানে আইপি গুলোর সামনে D (Dynamic) লেখা আছে। তার মানে হচ্ছে এই গুলির MAC Static করা নাই। এইবার যে সকল আইপির MAC static করতে চান তার উপর রাইট ক্লিক করে Make static করে দিন। তারপর দেখবেন যে ওই আইপির সামনের D লেখাটি চলে গিয়েছে অথাৎ ওই আইপির MAC static হয়ে গিয়েছে। এভাবে আপনার Lan Interface এর সকল আইপির MAC static করে দিন। তবে WAN Interface এর IP এর MAC static না করাই ভাল।
সকল LAN Interface(ether) IP er MAC static করা হয়ে গেলে Interface এ ক্লিক করুন। এখান থেকে আপনার LAN Interface(ether) double-click করুন, ARP: Reply-only করে দিয়ে Apply>Ok করুন।
ব্যাস হয়ে গেল আপনার Router এর Client আইপির MAC bonding! এখন চাইলেও কেউ কারও আইপি ব্যাবহার করতে পারবে না। যদি কোন আইপির MAC Free করতে চান তাহলে ইন্টারফেস এ ক্লিক করে প্রথমে আপনার LAN interface(Ether) এর ARP: Enable করে দিন। তারপর IP>ARP তে ক্লিক করে ওই আইপি টি সিলেক্ট করে Disable(x) করে দিন। যদি ওই আইপি আপনার Router এর সাথে connected থাকে তাহলে কিছুক্ষন এরমধ্যেই ওই আইপির সামনে D সহ আইপি’টি চলে আসবে। তখন বুঝবেন ওই আইপির MAC Free (dynamic) করা হয়ে গিয়েছে।
আজ আমরা প্রথমে শিখবো Mikrotik Router এ কিভাবে DHCP Server ইন্সটল করতে হয়। আমরা ইতিমধ্যে জেনেছিলাম LAN Side এ Private Block এর Static IP কিভাবে ব্যাবহার করতে হয়। কিন্তু আমরা যদি চাই যে static IP’র পরিবর্তে dynamic IP provide করতে (যেভাবে সাধারণ ব্রডব্যান্ড Router কাজ করে) তাহলে আমাদের Mikrotik Router-a DHCP Server Configure করতে হবে।
DHCP Server সহজে Configure করার জন্য প্রথমে আপনাকে একটি Private IP block এন্ট্রি করতে হবে (১ম পর্বের মত)। Then IP>DHCP Server এ ক্লিক করুন। এখন DHCP Tab সিলেক্ট করে DHCP Setup বাটন এ ক্লিক করুন। এরপর আপনার LAN Interface টি সিলেক্ট করে দিন। এরপর Next করুন, পরবর্তী অপশন গুলি By default ভাবে Mikrotik শো করবে। আপনার কাজ শুধু Next বাটন প্রেস করা। সবশেষে Finish হলে ওইখানে একটি Row তে আপনার তৈরিকৃত DHCP Server টি শো করবে। পাশের Lease tab থেকে আপনি দেখতে পারবেন কোন কোন Host কোন কোন আইপি lease নিয়েছে, Host name কি? lease time কতক্ষণ ইত্যাদি।
MRTG Graph:
Mikrotik Router এ Built-in একটি graphing system রয়েছে। এই গ্রাফ এর মাধ্যমে আপনি কোন নির্দিষ্ট অথবা সকল ইন্টারফেস কিংবা queue এর Bandwidth usage দেখতে পারেন। কোন দিনে কোন queue বা কোন ইন্টারফেস কত Upload or Download করেছে তা গ্রাফ দেখে বুঝতে পারবেন। তবে যখন থেকে গ্রাফ চালু করবেন কেবলমাত্র তখন থেকেই Bandwidth এর পরিসংখ্যান গুলি পাওয়া যাবে।
Graph চালু করতে Tools>graphing এ ক্লিক করুন। যদি ইন্টারফেস সমূহের গ্রাফ চালু করতে চান তাহলে Interface Rules এ ক্লিক করুন। এরপর Add (+) এ ক্লিক করুন। যদি কোন নির্দিষ্ট ইন্টারফেস এর গ্রাফ দেখতে চান তাহলে তা সিলেক্ট করে দিন ইন্টারফেস Field থেকে। আর যদি সকল ইন্টারফেস এর গ্রাফ দেখতে চান তাহলে “All” সিলেক্ট করুন। আপনি যদি চান এই গ্রাফ সমূহ শুধুমাত্র নির্দিষ্ট কোন আইপি অথবা আইপি ব্লক থেকে দেখা যাবে তাহলে তা Allow address এর ঘরে উল্লেখ করুন। আর যদি মনে করেন ইন্টারনেট এর সব জায়গা থেকেই দেখা যাবে তাহলে Allow address এর ঘরে 0.0.0.0/0 অপরিবর্তিত রাখুন। সবশেষে Apply>OK করুন।
যদি মনে করেন আপনার তৈরিকৃত queues সমূহের গ্রাফ দেখবেন তাহলে Queue Rules এ ক্লিক করুন। তারপর উপরের পন্থা অবলম্বন করুন।
গ্রাফ দেখবেন কিভাবে?
আপনার তৈরিকৃত গ্রাফসমূহ আপনার Mikrotik Router এ store হয়। সুতরাং গ্রাফ দেখতে চাইলে আপনার Mikrotik এ এন্ট্রি দেওয়া আইপি কে ব্রাউজার দিয়ে browse করুন। তবে যদি আপনার নেটওয়ার্ক এর বাহিরে থেকেও দেখতে চান সেক্ষেত্রে আপনার Mikrotik এ একটি Static Real IP এন্ট্রি থাকা প্রয়োজন। ধরে নেওয়া যাক আপনার Mikrotik Router এর WAN Side এ একটি Static Real IP এন্ট্রি করা আছে। তাহলে যেকোনো ব্রাউজার এ ওই আইপি টি কে browse করুন। এরপর Mikrotik Router এর একটি পেজ ওপেন হবে এইখান থেকে Graph সিলেক্ট করুন। এখন আপনার তৈরিকৃত গ্রাফ সমূহের
একটি লিস্ট শো করবে। যার উপর ক্লিক করলে আপনি বিস্তারিত দেখতে পারবেন।
তবে Mikrotik Router এর Built-in Graphing system টি এখনো খুব একটা নির্ভরযোগ্য নয়। প্রকৃত Bandwidth usage এই গ্রাফ দেখে নির্ণয় করা সম্ভব নয়। ভাল হয় যদি আপনারা গ্রাফ এর জন্য আলাদা কোন Server ব্যাবহার করেন। যেমন- Cacti.
PPPoE Client কি?
আপনারা হয়ত অনেকেই PPPoE Dialer এর সাথে পরিচিত। বিশেষ করে যারা BTCL এর Broadband Connection ব্যাবহার করেছেন। এছাড়াও অনেক ISP আছে যারা Client দের PPPoE Dialer এর মাধ্যমে সংযোগ দিয়ে থাকেন। এই ধরণের connection এ আপনার পিসি টি হয়ে যায় একটি PPPoE Client. যেটা কিনা একটি PPPoE Server এর সাথে Connected হয়ে ডাটা (ইন্টারনেট) আদান-প্রদান করে থাকে। সুতারাং আমরা যদি এই ধরণের একটি connection আমাদের Mikrotik Router এ ব্যাবহার করতে চাই তাহলে Mikrotik Router এর WAN (Internet) side a আমাদের একটি Static IP এর পরিবর্তে এটাকে PPPoE Client হিসাবে configure করতে হবে। তখন আমরা Mikrotik Router এ BTCL এর Broadband Internet Connection ও অন্যান্য যেকোনো PPPoE Connection ব্যাবহার করতে পারব।
PPPoE Client Configuration:
Mikrotik Router কে PPPoE Client মোডে Configure করতে চাইলে। প্রথমে Mikrotik Router এ লগইন করুন।
এরপর মেনু থেকে Interface এ ক্লিক করুন। এইখান থেকে PPPoE Client এ ক্লিক করুন।
এরপর একটি নতুন উইন্ডো আসবে। এই উইন্ডো এর General Tab থেকে ইন্টারফেস সিলেক্ট করে দিন। যে ইন্টারফেস এ আপনার ইন্টারনেট এর কেব্ল প্লাগ করা।
এরপর পাশের Dial Out ট্যাব এ ক্লিক করুন। এইখানে আপনার Connection এর ইউজার নেম এবং Password টাইপ করুন।
এরপর Apply>OK তে ক্লিক করুন। সব ঠিক থাকলে আপনার Router ওই ইউজার নেম ও Password ব্যাবহার করে ওই Connection এ dial করবে এবং ইন্টারনেট পাবে। আপনার LAN এর সেটিংস্ ঠিক থাকলে আপনার Router এর সকল User PC গুলিও ইন্টারনেট পাবে।
PPPoE Server:
একটি PPPoE client ডাটা অথবা ইন্টারনেট এর জন্য একটি PPPoE Server এ Connected হয়। অর্থাৎ আপনি যদি ইন্টারনেট সার্ভিস প্রভাইডার হন তাহলে আপনার Mikrotik Router টিকে PPPoE Server হিসেবে কনফিগার করে আপনার গ্রাহকদের ইন্টারনেট সার্ভিস দিতে পারেন। এই ক্ষেত্রে আপনার Mikrotik Router টিকে PPPoE Server এবং Client পিসি গুলিকে PPPoE client হিসেবে কনফিগার করতে হবে। এর পর পিসি গুলি থেকে Dial করলে তা PPPoE Server এর সাথে Connected হবে এবং প্রয়োজনীয় ডাটা বা ইন্টারনেট পাবে।
আপনার Mikrotik Router টিকে PPPoE Server হিসেবে কনফিগার করতে চাইলে প্রথমে Router এ লগইন করুন। এরপর PPP মেনুতে ক্লিক করুন। এইখান থেকে PPPOE Server ট্যাব এ ক্লিক করুন। তারপর অ্যাড (+) বাটন এ ক্লিক করুন। এখন আপনার সামনে নিচের মত একটি উইন্ডো ওপেন হবে।
Service Name: আপনি PPPoE Server এর একটি নাম দিন।
Interface: আপনি যে ইন্টারফেস এ PPPoE Server সেট আপ করতে চান তা উল্লেখ করুন।
এরপর বাকি অপশনসমূহ নিচের চিত্রের মত করে ঠিক করে নিন।
এরফলে আপনার Router এ PPPOE Server অপশনটি এনাবল হল। এইবার আপনাকে ইউজারদের প্রোফাইল Create করতে হবে এবং ইউজার create করতে হবে।
User Profile Creation:
এরজন্য আবার PPP মেনুতে ক্লিক করুন। এইখান থেকে profile এ ক্লিক করুন। তারপর add (+) এ ক্লিক করুন। এরপর আপনার সামনে একটি window আসবে। এই উইন্ডো এর General ট্যাব এ ক্লিক করুন এবং নিচের field গুলি খেয়াল করুন।
Name: এই প্রোফাইল এর যেকোনো একটি নাম দিন।
Local Address: এই Router এর আইপি অ্যাড্রেস টি উল্লেখ করুন।
DNS Server: আপনার DNS server গুলির আইপি ইনপুট করুন।
এরপর পাশের Protocol ট্যাব টির সেটিংস্ নিচের ছবির মত করে নিন।
এরপর পাশের Limits ট্যাবটিতে ক্লিক করুন। Rate Limits এর ঘরে Upload/Download সেট করে দিন kbps এর হিসাবে। নিচে উদাহরণস্বরূপ 1 Mbps Upload and Download সেট করা হয়েছে। এখানে kbps বোঝাতে Lower case “k” বোঝানো হয়েছে।
এরপর Apply>OK তে ক্লিক করুন।
প্রোফাইল তৈরি করা হয়ে গেলে আপনার পরবর্তী কাজ হচ্ছে ইউজার তৈরি করা। যে ইউজার নেম ব্যাবহার করে PPPOE Client পিসি/রাউটার সমূহ আপনার রাউটারে Connect হয়ে ইন্টারনেট পাবে।
User Creation:
ইউজার তৈরির জন্য PPP মেনুতে ক্লিক করুন। এইখান থেকে secret ট্যাব এ ক্লিক করুন। এরপর নিচের অ্যাড (+) বাটন এ ক্লিক করুন। তারপর নিচের Field গুলি খেয়াল করুন।
Name: PPPoE Client ইউজার নেম। যে নেম ব্যাবহার করে Client পিসি connected হবে।
Password: PPPoE Client password. যে Password ব্যাবহার করে Client পিসি Connected হবে।
Service: এইখান থেকে service টাইপ pppoe সিলেক্ট করুন।
Caller ID: যদি মনে করেন যে এই ইউজার নেম ও password ব্যাবহার করে শুধু মাত্র একটি পিসি থেকেই connect হওয়া যাবে তবে আপনি ইচ্ছা করলে Client পিসি’র MAC address এইখানে টাইপ করে দিতে পারেন। আবার এখন MAC bonding না করে পরেও করা যাবে।
Profile: আপনার তৈরিকৃত প্রোফাইল টি সিলেক্ট করে দিন। আপনি ইচ্ছা করলে একই প্রোফাইল একাধিক ইউজার এ ব্যাবহার করতে পারেন। আবার প্রতিটি ইউজার এর জন্য আলাদা আলাদা প্রোফাইল তৈরি করে ব্যাবহার করতে পারেন। pppoe সার্ভিস এর ক্ষেত্রে ইউজার দের Bandwidth allocation করা হয় প্রোফাইল এর মাধ্যমে।
Remote Address: ইউজারদের একটি আইপি দিয়ে দিন।
তারপর Apply>OK করুন।
এবার আপনার Mikrotik Router এর সাথে Connected পিসিসমূহ থেকে আপনার তৈরিকৃত ইউজার নেম ও Password ব্যাবহার করে PPPoE Dialer এর মাধ্যমে ডায়াল করলে তা Mikrotik Router এর সাথে Connected হবে এবং ইউজার প্রোফাইল এ বর্ণিত সেটিংস্ অনুযায়ী Bandwidth পাবে।
settings সম্পর্কে জানবো।
Firewall: প্রথমেই বলে রাখা ভাল যে Mikrotik Router এর Firewall নির্দিষ্ট কিছু Rules এর মধ্যে সীমাবদ্ধ নয়। বরং আপনি আপনার সৃজনশীলতার পরিচয় দিয়ে অনেক customize rules তৈরি করতে পারেন এবং তা আপনার নেটওয়ার্ক এ অ্যাপ্লাই করতে পারেন। নিচে কিছু সাধারণ Firewall rules তৈরি, ব্যাবহার ও ব্যাখ্যা করা হল।
রুল ১ থেকে রুল ৪, এই ৪টি রুল তৈরি করা হয়েছে শুধুমাত্র রাউটারকে কোন কোন আইপি/আইপি ব্লক থেকে অ্যাক্সেস করা যাবে তা নির্ধারণ করার জন্য।
প্রথমে winbox এর সাহায্যে Mikrotik Router এ লগইন করুন। এরপর IP>Firewall>Filter Rules এ ক্লিক করুন। এরপর Add (+) এ ক্লিক করুন।
Rule-1:
Chain: Input
Src Address: 203.99.15.100/30 (আপনার WAN সাইডের আইপি/আইপি ব্লক)
এরপর Action ট্যাব এ গিয়ে Accept সিলেক্ট করে Apply>OK করুন। এরফলে Filter Rules এ একটি রুল তৈরি হবে। এই রুল এর জন্য আপনার রাউটারকে ওই আইপি বা আইপি ব্লক দিয়ে অ্যাক্সেস করা যাবে।
এবার ঠিক একই রকম আরেকটি রুল তৈরি করুন আপনার প্রাইভেট আইপি ব্লক থেকে রাউটারকে অ্যাক্সেস করার জন্য। Add (+) এ ক্লিক করুন, তারপর
Rule-2:
Chain: Input
Src Address: 192.168.1.0/24 (আপনার LAN এর আইপি ব্লক)
Action: Accept
Apply>OK.
এখন আপনার রাউটারকে WAN সাইডের আইপি/আইপি ব্লক থেকে এবং আপনার LAN সাইডের আইপি ব্লক থেকে অ্যাক্সেস করা যাবে। পাশাপাশি ইন্টারনেট এর মাধ্যমে যেকোনো জায়গা থেকেও অ্যাক্সেস করা যাবে কিন্তু যেহেতু আমাদের উদ্দেশ্য রাউটারকে Unauthorized IP Access থেকে বিরত রাখা তাই আমাদের এই ২ রুল এর পাশাপাশি আর ২টি রুল তৈরি করতে হবে। যাতে ওই ২টি আইপি ব্লক ছাড়া আর অন্য কোন আইপি থেকে রাউটারে অ্যাক্সেস না করা যায়। এরজন্য একইভাবে Add (+) এ ক্লিক করুন তারপর,
Rule-3:
Chain: Input
Src Address: ! 203.99.15.100/30
Action: Drop
Apply>OK.
Rule-4:
Chain: Input
Src Address: !192.168.1.0/24
Action: Drop
Apply>OK
এখন আপনার রাউটারটিকে 203.99.15.100/30 এবং 192.168.1.0/24 আইপি ব্লক ছাড়া অন্য আইপি/আইপি ব্লক থেকে অ্যাক্সেস করা যাবে না। এইরকম আরও কিছু ফিল্টার রুলস তৈরি করতে পারেন যেমন আপনার রাউটার এ brute force attack প্রতিরোধ, বিভিন্ন ভাইরাস-স্পাম এর পোর্ট ব্লক, নেটওয়ার্ক এর নির্দিষ্ট কোন আইপির বিশেষ কোন পোর্ট ব্লক ইত্যাদি। নিচে কিছু ভাইরাস-স্পাম পোর্ট ব্লকের স্ক্রীন শর্ট দেখানো হল।
এইখানে রুল-১৪ এর মাধ্যমে 192.168.1.0/24 এই আইপি ব্লক এর 3129 পোর্টটিকে ব্লক করে দেওয়া হয়েছে। অর্থাৎ ওই আইপি সমূহ 3129 পোর্ট ব্যাবহার করতে পারবে না। সাধারণত এই পোর্টটি প্রক্সি সার্ভার এ ব্যবহৃত হয়ে থাকে। অনেক নেটওয়ার্ক এডমিন তার ইউজারদের প্রক্সি সার্ভার ব্যাবহার থেকে বিরত রাখতে চান, তারা এভাবে প্রয়োজনীয় পোর্ট গুলি ব্লক করতে পারেন।
