آموزش

آموزش محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik (گام‌به‌گام)

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

مقدمه

در دنیای شبکه، یکی از دغدغه‌های اصلی مدیران، کنترل و محدودسازی دسترسی کاربران به وب‌سایت‌های خاص است؛

چه برای افزایش بهره‌وری کارمندان در سازمان‌ها، چه برای کنترل مصرف پهنای باند یا حتی حفظ امنیت شبکه.

در این میان، قابلیت Layer7 Protocol در روترهای MikroTik ابزاری قدرتمند برای فیلتر کردن ترافیک بر اساس محتوا یا آدرس دامنه محسوب می‌شود.

در این مقاله، با آموزش صفر تا صد محدود کردن دسترسی کاربران به سایت‌ها با استفاده از Layer7 Protocol در MikroTik آشنا می‌شوید.

این آموزش کاملاً عملی، با مثال‌های کاربردی و سازگار با RouterOS 7 ارائه شده و برای اجرا در محیط‌های خانگی، اداری یا آموزشی مناسب است.

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

فهرست مطالب

  1. Layer7 در MikroTik چیست؟

  2. تفاوت Layer7 با فایروال کلاسیک

  3. کاربردهای عملی Layer7

  4. پیش‌نیازهای پیاده‌سازی Layer7 Filtering

  5. مراحل ایجاد الگوی Layer7 برای مسدودسازی سایت‌ها

  6. تنظیم فایروال برای بلاک کردن دامنه‌ها

  7. مثال عملی: مسدودسازی دسترسی به YouTube و Instagram

  8. نحوه بررسی و تست فیلترینگ

  9. رفع محدودیت برای کاربران خاص

  10. نکات بهینه‌سازی و مشکلات رایج

  11. روش جایگزین Layer7 (DNS Filtering و Address List)

  12. جمع‌بندی و توصیه‌های نهایی

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

1. Layer7 در MikroTik چیست؟

Layer7 یا فیلتر لایه هفتم، روشی برای بررسی بسته‌های داده در لایه کاربرد (Application Layer) است.

این قابلیت به روتر اجازه می‌دهد محتوای بسته‌ها را تجزیه و تحلیل کرده و بر اساس الگوهای متنی (regex) تصمیم‌گیری کند.

این روش برخلاف فایروال‌های سنتی که صرفاً بر اساس IP یا پورت کار می‌کنند، توانایی شناسایی و کنترل دقیق‌تری روی درخواست‌های HTTP دارد.

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

2. تفاوت Layer7 با فایروال کلاسیک

ویژگی فایروال کلاسیک Layer7 Protocol
نوع فیلتر بر اساس IP و پورت بر اساس محتوای ترافیک
دقت پایین‌تر برای HTTP/HTTPS بالاتر در شناسایی دامنه‌ها
مصرف CPU کم بالا
کاربرد عمومی خاص و هدفمند
محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

3. کاربردهای عملی Layer7

  • مسدودسازی شبکه‌های اجتماعی (Instagram, TikTok, YouTube)

  • کنترل دسترسی به سایت‌های غیرمجاز

  • مدیریت پهنای باند با کاهش ترافیک ویدئویی

  • جلوگیری از استفاده شخصی از اینترنت در ساعات کاری

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

4. پیش‌نیازهای پیاده‌سازی Layer7 Filtering

  • MikroTik با RouterOS 7

  • دسترسی به Winbox یا WebFig

  • داشتن لیست سایت‌هایی که باید مسدود شوند

  • تنظیم DNS مناسب (ترجیحاً استفاده از DNS سرورهای داخلی یا معتبر مانند 8.8.8.8)

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

5. مراحل ایجاد الگوی Layer7 برای مسدودسازی سایت‌ها

مرحله 1: تعریف الگوی دامنه (Regex)

به مسیر زیر بروید:
IP > Firewall > Layer7 Protocols > Add

در فیلدها تنظیمات زیر را وارد کنید:

  • Name: Block_Social

  • Regexp:

regex
^.+(instagram\.com|youtube\.com|facebook\.com).*\$

📌 توجه: برای دقت بیشتر، حتما از escape برای نقطه‌ها استفاده کنید.

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

6. تنظیم فایروال برای بلاک کردن دامنه‌ها

مرحله 2: ایجاد رول در فایروال

به مسیر زیر بروید:

IP > Firewall > Filter Rules > Add

  • Chain: forward

  • Protocol: tcp

  • Layer7 Protocol: Block_Social

  • Action: drop

  • Comment: “Block Social Sites with Layer7”

📌 پیشنهاد: رول را در ابتدای لیست قرار دهید تا اولویت داشته باشد.

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

7. مثال عملی: مسدودسازی YouTube و Instagram

فرض کنید شما می‌خواهید سایت‌های YouTube و Instagram را برای تمام کاربران در شبکه مسدود کنید.

.

خلاصه تنظیمات:

  1. تعریف Layer7 با عبارت:

regex
^.+(youtube\.com|instagram\.com).*\$

  1. ایجاد رول فایروال با action برابر drop.

  2. تست با باز کردن سایت از سمت کلاینت.

✅ بعد از اعمال تنظیمات، سایت‌های مذکور از دسترس کاربران خارج خواهند شد.

محدود کردن دسترسی به سایت‌ها با Layer7 در MikroTik

8. نحوه بررسی و تست فیلترینگ

برای تست می‌توانید از ابزارهایی مثل:

  • مرورگر کلاینت

  • دستور ping به دامنه

  • ابزار Torch در MikroTik

همچنین برای مانیتورینگ می‌توانید از:

IP > Firewall > Connections

بررسی کنید آیا اتصال به دامنه‌های مورد نظر ایجاد می‌شود یا خیر.

.

9. رفع محدودیت برای کاربران خاص

اگر بخواهید برخی کاربران (مثلاً مدیر یا واحد IT) به سایت‌ها دسترسی داشته باشند:

روش 1: استفاده از Address List

  1. تعریف آدرس‌های استثنا:

bash
/ip firewall address-list
add address=192.168.88.10 list=AllowedUsers

  1. در رول فایروال:

  • Chain: forward

  • Src. Address List: AllowedUsers

  • Action: accept

  • Place before drop rule

.

10. نکات بهینه‌سازی و مشکلات رایج

⚠️ مشکلات:

  • HTTPS: به دلیل رمزنگاری، Layer7 نمی‌تواند دامنه‌ها را در HTTPS به‌خوبی شناسایی کند.

  • مصرف منابع: Layer7 به شدت CPU را درگیر می‌کند.

  • دور زدن فیلتر: کاربران حرفه‌ای ممکن است از DNS یا VPN برای دور زدن استفاده کنند.

راهکارهای بهینه‌سازی:

  • استفاده از DNS-based Filtering (مثل Pi-hole)

  • جلوگیری از مصرف بیش‌ازحد با استفاده از محدودیت در ساعات خاص

  • استفاده ترکیبی از Layer7 با Address List

.

11. روش جایگزین Layer7 (DNS Filtering)

استفاده از static DNS:

  1. تعریف DNS در میکروتیک:

csharp
/ip dns static
add name=www.youtube.com address=127.0.0.1

  1. فعال‌سازی DNS Cache و جلوگیری از استفاده از DNS خارجی:

sql
/ip firewall filter
add chain=forward dst-port=53 protocol=udp action=drop

✅ مزیت این روش: مصرف CPU کمتر
❌ عیب: قابل دور زدن با DNS جایگزین مگر اینکه مسدود شود.

.

12. جمع‌بندی و توصیه‌های نهایی

قابلیت Layer7 Protocol در MikroTik ابزاری قدرتمند اما حساس است که برای کنترل دسترسی به سایت‌ها بر اساس محتوا یا دامنه بسیار مفید است.

با اینکه محدودیت‌هایی مانند دشواری فیلتر HTTPS و مصرف منابع دارد، اما با پیاده‌سازی هوشمندانه و ترکیبی، می‌توان آن را در سناریوهای مختلف به‌کار گرفت.

✅ توصیه‌های نهایی:

  • همیشه رول‌های Layer7 را در انتهای زنجیره قرار ندهید.

  • برای پایداری بهتر، از روش‌های مکمل مانند DNS filtering بهره بگیرید.

  • لاگ‌گیری را فعال کنید تا رفتار کاربران را زیر نظر داشته باشید.

 

جهت مطالعه آموزش های مشابه اینجا کلیک کنید.

5/5 - (2 امتیاز)
ادیب نکویی

دیدگاهتان را بنویسید