RaazNet

رازنتبتا

دانشنامه
در این صفحه

فریمور روتر و میزبانی شخصی

راهنمایی برای بازپس‌گیری کنترل شبکه از طریق فریم‌ورهای متن‌باز روتر (مانند OpenWrt و OPNsense) و میزبانی شخصی سرویس‌های ضروری جهت دور زدن نظارت و سانسور در ایران.

Time15 minutes

فریم‌ور روتر و میزبانی شخصی (Self-Hosting)

در فضایی که نظارت دولتی فراگیر و سانسور شدید اینترنت حاکم است، کنترلِ دروازه‌ی شبکه (Gateway)، یکی از مؤثرترین اقدامات دفاعی است که می‌توانید انجام دهید. روترهای پیش‌فرض (Stock) که توسط شرکت‌های ارائه‌دهنده اینترنت (مانند همراه اول، ایرانسل یا مخابرات) یا سازندگان تجاری عرضه می‌شوند، اغلب دارای آسیب‌پذیری هستند، به‌روزرسانی‌های امنیتی حیاتی را دریافت نمی‌کنند و هیچ ابزاری برای عبور از بازرسی عمیق بسته‌ها (DPI) در اختیار شما نمی‌گذارند.

این راهنما بر جایگزینی فریم‌ور ناامنِ پیش‌فرض با جایگزین‌های متن‌باز (Open-source) و میزبانی شخصی سرویس‌های ضروری برای بازپس‌گیری حاکمیت دیجیتال شما تمرکز دارد.

۱. فریم‌ور روتر: خط مقدم دفاع

روتر شما گلوگاه تمام داده‌هایی است که به خانه شما وارد یا از آن خارج می‌شوند. اگر نتوانید روتر خود را کنترل کنید، قادر به تأمین امنیت شبکه خود نخواهید بود.

چرا فریم‌ور پیش‌فرض (Stock) را جایگزین کنیم؟

  • آسیب‌پذیری‌های امنیتی: فریم‌ورهای کارخانه‌ای به ندرت به‌روزرسانی‌های امنیتی را به موقع دریافت می‌کنند و دستگاه‌ها را در برابر بات‌نت‌ها و بدافزارهای تحت حمایت دولت‌ها آسیب‌پذیر می‌گذارند.
  • فقدان قابلیت مبهم‌سازی (Obfuscation): روترهای عادی معمولاً تنها از پروتکل‌های VPN پایه (مانند PPTP یا L2TP استاندارد) پشتیبانی می‌کنند که توسط سیستم فیلترینگ ایران به راحتی شناسایی و مسدود می‌شوند.
  • ریسک‌های نظارتی: مودم‌های ارائه شده توسط ISP ممکن است حاوی درهای پشتی (Backdoors) یا ابزارهای تله‌متری باشند که امکان نظارت از راه دور بر شبکه محلی شما را فراهم می‌کنند.

پیشنهاد شده: OpenWrt

اوپن‌دبلیوآرتی (OpenWrt) یک سیستم‌عامل مبتنی بر لینوکس برای دستگاه‌های امبدد (توکار) است. به دلیل قابلیت توسعه‌ی بالا، این سیستم‌عامل استاندارد طلایی برای روترهای خانگی در محیط‌های محدود شده محسوب می‌شود.

  • دور زدن سانسور: برخلاف فریم‌ورهای استوک، OpenWrt از پکیج‌های پیشرفته (مانند luci-app-passwall، shadowsocks-libev یا xray-core) پشتیبانی می‌کند که می‌توانند مستقیماً روی روتر اجرا شوند. این به شما امکان می‌دهد ترافیک کل خانه (شامل تلویزیون‌های هوشمند، کنسول‌ها و گوشی‌ها) را از طریق پروتکل‌های مقاوم در برابر فیلترینگ (مانند V2Ray، Xray یا تونل‌های هیستریکال) عبور دهید.
  • تفکیک ترافیک (Traffic Splitting): قابلیتی حیاتی برای کاربران ایرانی. شما می‌توانید قوانین مسیریابی (Routing rules) را طوری تنظیم کنید که ترافیک سایت‌های داخلی (مانند بانک‌ها و درگاه‌های دولتی) مستقیماً از طریق ISP عبور کند (تا مسدود نشود)، در حالی که ترافیک بین‌المللی از طریق ابزار دور زدن تحریم و فیلترینگ شما هدایت شود.
  • کنترل DNS: از حملات ربودن یا مسموم‌سازی DNS توسط ISP جلوگیری می‌کند.

منابع:

پیشنهاد شده: OPNsense

اوپی‌ان‌سنس (OPNsense) یک پلتفرم فایروال و مسیریابیِ مقاوم‌سازی شده و مبتنی بر FreeBSD است. این سیستم برای سخت‌افزارهای x86 (مانند مینی‌کامپیوترها یا دسکتاپ‌های قدیمی) طراحی شده است، نه روترهای پلاستیکی معمولی.

  • مناسب برای: کاربرانی که نیاز به امنیت در سطح سازمانی، سیستم‌های تشخیص نفوذ (IDS) دارند، یا از اتصالات با پهنای باند بالا استفاده می‌کنند که روترهای معمولی را تحت فشار قرار می‌دهد.
  • ویژگی‌های حریم خصوصی: شامل پشتیبانی قدرتمند از Unbound DNS، مدیریت پهنای باند (Traffic Shaping) و تنظیمات پیچیده VPN (مانند WireGuard و OpenVPN).

منابع:

مقاوم‌سازی (Hardening) روتر شما

صرف‌نظر از فریم‌وری که انتخاب می‌کنید، این مراحل امنیتی را فوراً اعمال کنید:

۱. مودم و روتر را جدا کنید: اگر ISP شما مودم خاصی (DSL/فیبر) را اجبار می‌کند، آن را در "حالت بریج" (Bridge Mode) قرار دهید و به روتر شخصی خود متصل کنید. این کار دستگاه ISP را از شبکه داخلی شما ایزوله می‌کند. ۲. غیرفعال‌سازی WPS: قابلیت Wi-Fi Protected Setup به راحتی با حملات بروت‌فورس هک می‌شود. آن را فوراً غیرفعال کنید. ۳. بخش‌بندی شبکه (Segmentation): از VLANها یا "شبکه مهمان" (Guest Network) استفاده کنید تا دستگاه‌های اینترنت اشیاء غیرقابل اعتماد (یخچال هوشمند، دوربین‌های ارزان‌قیمت) را از کامپیوترها و گوشی‌های شخصی خود جدا کنید. ۴. تغییر ساب‌نت‌های پیش‌فرض: رنج IP محلی خود را از حالت پیش‌فرض 192.168.1.x به یک رنج تصادفی (مثلاً 10.55.99.x) تغییر دهید تا حملات خودکار محلی را کمی دشوارتر کنید.

۲. میزبانی شخصی (Self-Hosting) برای حریم خصوصی

میزبانی شخصی به معنای اجرای سرویس‌های مورد نیاز (فضای ابری، مدیریت رمز عبور، پخش‌کننده رسانه) روی سخت‌افزار خودتان است، به جای اینکه به سرویس‌دهندگان ابری شخص ثالث (مانند گوگل یا آی‌کلاد) که ممکن است داده‌های شما را اسکن کنند یا از تحریم‌ها/درخواست‌های دولتی پیروی کنند، تکیه کنید.

⚠️ هشدار حیاتی برای کاربران ایرانی

امنیت فیزیکی بسیار مهم است: میزبانی سرویس‌ها در خانه به این معناست که داده‌ها به صورت فیزیکی در منزل شما قرار دارند. اگر مدل تهدید شما شامل خطر توقیف دستگاه‌ها توسط نیروهای امنیتی است:

  • رمزگذاری کامل دیسک (FDE): شما باید درایوهای هر سرور خانگی را رمزگذاری کنید (استفاده از LUKS در لینوکس). اگر برق قطع شود، داده‌ها باید غیرقابل خواندن باشند.
  • عدم میزبانی عمومی: هرگز یک سرور خانگی را بدون VPN یا سرویس پیازی Tor در معرض اینترنت عمومی قرار ندهید (پورت فورواردینگ نکنید). شناسایی آدرس IP خانگی شما برای ISP بسیار ساده است.

ابزارهای ضروری برای میزبانی شخصی

مسدودسازی تبلیغات و ردیاب‌ها در کل شبکه

ابزارها: AdGuard Home یا Pi-hole

  • چرا: مسدود کردن تبلیغات و دامنه‌های ردیابی در سطح DNS برای تمام دستگاه‌های موجود در شبکه.
  • در بستر ایران: این ابزارها به شما اجازه می‌دهند DNS رمزگذاری شده (DNS-over-HTTPS یا DNS-over-TLS) را پیکربندی کنید. این برای دور زدن حملات "مسموم‌سازی DNS" که توسط سیستم فیلترینگ برای مسدود کردن وب‌سایت‌ها استفاده می‌شود، حیاتی است. شما می‌توانید تمام دستگاه‌ها را مجبور به استفاده از یک حل‌کننده (Resolver) امن و رمزگذاری شده کنید و مانع از دیدن درخواست‌های DNS خود توسط ISP شوید.

مدیریت رمز عبور

ابزار: Vaultwarden (نسخه سبک Bitwarden)

  • چرا: رمزهای عبور خود را به صورت رمزگذاری شده روی دستگاه خودتان نگه دارید. از ریسک مسدود شدن IPهای ایران توسط سرویس‌های مدیریت رمز عبور ابری به دلیل تحریم‌ها اجتناب کنید.
  • نحوه استفاده: به صورت محلی میزبانی کنید و همگام‌سازی (Sync) را فقط زمانی که به وای‌فای خانگی متصل هستید یا از طریق یک VPN امن به خانه وصل شده‌اید، انجام دهید.

فرانت‌اندهای حریم خصوصی (Privacy Frontends)

دسترسی به پلتفرم‌های مسدود شده بدون اتصال مستقیم به آن‌ها (و فعال شدن فیلترها یا ردیاب‌ها).

  • یوتیوب: Invidious یا Piped (دسترسی به ویدیوها بدون تبلیغات و ردیابی گوگل).
  • ردیت: Redlib (رابط کاربری سبک و بدون جاوا اسکریپت).
  • جستجو: SearXNG (موتور جستجوی متا که گوگل/بینگ را به صورت ناشناس جستجو می‌کند).

همگام‌سازی فایل‌ها

ابزارها: Syncthing یا Nextcloud

  • چرا: فایل‌ها را بین گوشی و کامپیوتر خود همگام‌سازی کنید بدون اینکه آن‌ها را در گوگل درایو یا آی‌کلاد آپلود کنید.
  • Syncthing: نیازی به سرور مرکزی ندارد؛ همگام‌سازی به صورت دستگاه-به-دستگاه انجام می‌شود. برای دور نگه داشتن اسناد حساس از فضای ابری بسیار توصیه می‌شود.

۳. ملاحظات سخت‌افزاری

هنگام ساخت یک شبکه امن یا آزمایشگاه خانگی (Home Lab)، انتخاب سخت‌افزار اهمیت دارد.

  • پردازنده (CPU) روتر: اگر قصد دارید کلاینت‌های VPN (مانند OpenVPN یا WireGuard) را روی روتر اجرا کنید، اطمینان حاصل کنید که پردازنده قدرتمندی دارد (پشتیبانی از AES-NI ایده‌آل است). روترهای ارزان قیمت معمولی هنگام رمزگذاری ترافیک، سرعت شما را به شدت کاهش می‌دهند.
  • مینی‌کامپیوترها: برای میزبانی شخصی و OPNsense، استفاده از "تین کلاینت‌ها" (Thin Clients) یا مینی‌کامپیوترهای استوک (Refurbished) اغلب ارزان‌تر و قدرتمندتر از روترهای مصرفی "رده بالا" است.
  • مینیمالیسم در شبکه: هر دستگاه متصل به شبکه شما یک نقطه نفوذ بالقوه است. اگر از ویژگی "هوشمند" تلویزیون یا لوازم خانگی استفاده نمی‌کنید، اتصال آن‌ها به شبکه را کاملاً قطع کنید.

چک‌لیست خلاصه

۱. [ ] بررسی (Audit): بررسی کنید آیا روتر فعلی شما از OpenWrt پشتیبانی می‌کند یا خیر. ۲. [ ] نصب (Flash): نصب OpenWrt یا تهیه دستگاهی که از آن پشتیبانی می‌کند. ۳. [ ] جداسازی (Segregate): مودم ISP را در حالت بریج (Bridge Mode) قرار دهید؛ برای اتصال PPPoE از روتر خودتان استفاده کنید. ۴. [ ] رمزگذاری: DNS رمزگذاری شده (DoH/DoT) را روی روتر یا از طریق AdGuard Home راه‌اندازی کنید. ۵. [ ] تونل کردن: یک تونل مقاوم در برابر سانسور (مانند Xray/V2Ray) را برای ترافیک بین‌الملل روی روتر پیکربندی کنید. ۶. [ ] میزبانی: برای حفظ حاکمیت داده‌ها، Syncthing یا Vaultwarden را روی یک سرور محلی و رمزگذاری شده راه‌اندازی کنید.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.