تنظیم پروکسی در روتر MikroTik: حفاظت از شبکه شرکتی و فیلتر کردن ترافیک به صورت مرحله به مرحله

اگر در شرکت شما حتی یک روتر MikroTik وجود دارد، شما قبلاً یک ابزار داخلی برای کنترل ترافیک، مسدود کردن سایت‌های ناخواسته و حفاظت از شبکه شرکتی دارید. بیشتر مدیران سیستم حتی نیمی از قابلیت‌های آن را نیز استفاده نمی‌کنند. در این راهنما، بررسی خواهیم کرد که چگونه پروکسی را مستقیماً بر روی MikroTik تنظیم کنیم - بدون سرورهای اضافی و هزینه‌های اضافی.

پروکسی وب در MikroTik چیست و چرا برای کسب و کار ضروری است

MikroTik RouterOS یک سیستم عامل کامل برای تجهیزات شبکه است که شامل یک سرور پروکسی HTTP/HTTPS داخلی می‌باشد. این سرور پروکسی وب نامیده می‌شود و از مجوزهای پایه به بعد در دسترس است. در واقع، این یک گره میانی بین کاربران شبکه شما و اینترنت است: تمام ترافیک از طریق آن عبور می‌کند و شما کنترل کامل بر آنچه که در شبکه اتفاق می‌افتد، دارید.

این چه تفاوتی با یک فایروال معمولی دارد؟ فایروال در سطح آدرس‌های IP و پورت‌ها کار می‌کند - او محتویات درخواست‌ها را «درک» نمی‌کند. پروکسی در سطح برنامه‌ها کار می‌کند: او URLهای خاص، دامنه‌ها و نوع محتوا را می‌بیند. این کنترل در سطح کاملاً متفاوتی را فراهم می‌کند.

پروکسی وب داخلی در MikroTik قادر است:

• کش کردن محتوای وب - بار ترافیک اینترنت را تا 30–40% در دفاتر با مرورگر فعال کاهش می‌دهد
• مسدود کردن دسترسی به سایت‌های خاص، دامنه‌ها و الگوهای URL
• تفکیک دسترسی بر اساس آدرس‌های IP کاربران یا زیرشبکه‌ها
• ثبت تمام درخواست‌های HTTP - اینکه چه کسی، به کجا و چه زمانی مراجعه کرده است
• کار کردن در حالت شفاف - کاربران متوجه حضور آن نمی‌شوند
• هدایت ترافیک به سمت سرور پروکسی خارجی (پروکسی والد)

مهم است که محدودیت را درک کنید: پروکسی وب داخلی در MikroTik فقط با ترافیک HTTP در حالت بومی کار می‌کند. ترافیک HTTPS را فقط در حالت شفاف با محدودیت‌های خاص می‌تواند ضبط کند، یا از طریق تنظیم پروکسی والد. برای بازرسی کامل HTTPS به راه‌حل‌های اضافی نیاز است - در مورد آن در بخش پروکسی‌های خارجی صحبت خواهیم کرد.

سناریوهای استفاده: چه کسی و چرا به این تنظیمات نیاز دارد

قبل از اینکه به جزئیات فنی بپردازیم، بیایید به وظایف تجاری خاصی که پروکسی در MikroTik حل می‌کند، نگاهی بیندازیم. این کمک می‌کند تا بفهمید که دقیقاً به چه تنظیماتی نیاز دارید.

دفتر با کارکنان استخدامی

رایج‌ترین سناریو. وظایف: مسدود کردن شبکه‌های اجتماعی در ساعات کاری، ممنوعیت دانلود تورنت‌ها، محدود کردن دسترسی به سرویس‌های استریم که «پهنای باند» را مصرف می‌کنند. پروکسی شفاف در MikroTik همه این موارد را بدون نیاز به نصب عامل بر روی کامپیوترهای کارکنان حل می‌کند. کارکنان حتی نمی‌دانند که ترافیک آن‌ها فیلتر می‌شود - همه چیز به صورت خودکار کار می‌کند.

کافه‌های اینترنتی، کواورکینگ‌ها، هتل‌ها

در اینجا پروکسی برای دو چیز نیاز است: کش کردن (محتوای محبوب سریع‌تر بارگذاری می‌شود و ترافیک دوباره مصرف نمی‌شود) و فیلتر کردن محتوای غیرقانونی. کش کردن به ویژه در شرایطی که پهنای باند اینترنت محدود یا گران است، بسیار مهم است.

آژانس‌های بازاریابی و تیم‌های دیجیتال

سناریوی خاص: تیم‌هایی که با تعداد زیادی حساب تبلیغاتی در Facebook Ads، TikTok Ads، Instagram کار می‌کنند، اغلب از MikroTik شرکتی به عنوان دروازه‌ای برای مسیریابی ترافیک از طریق پروکسی‌های خارجی استفاده می‌کنند. کارکنان یا ایستگاه‌های کاری مختلف از طریق آدرس‌های IP مختلف به اینترنت متصل می‌شوند - این برای کار با چندین حساب در یک پلتفرم حیاتی است.

ارائه‌دهندگان و ISPها

ارائه‌دهندگان کوچک از پروکسی کش‌کننده MikroTik برای کاهش بار بر روی کانال‌های اصلی استفاده می‌کنند. با تعداد زیادی از مشترکانی که یک خبر یا YouTube را مشاهده می‌کنند، کش کردن صرفه‌جویی قابل توجهی در ترافیک ایجاد می‌کند.

قبل از شروع تنظیمات به چه چیزهایی نیاز دارید

قبل از شروع پیکربندی، مطمئن شوید که همه چیز لازم را دارید. نادیده گرفتن این مرحله دلیل 80% مشکلات در تنظیمات است.

دسترسی به روتر: شما به دسترسی به رابط وب MikroTik (Winbox یا WebFig) با حقوق مدیر نیاز دارید. Winbox گزینه ترجیحی است، زیرا دسترسی کامل به تمام تنظیمات را فراهم می‌کند. می‌توانید آن را به صورت رایگان از وب‌سایت رسمی MikroTik دانلود کنید.

نسخه RouterOS: برای عملکرد پایدار پروکسی وب، RouterOS 6.x یا 7.x توصیه می‌شود. نسخه را از طریق System → Packages بررسی کنید. اگر نسخه قدیمی است - از طریق System → Packages → Check for Updates به‌روزرسانی کنید.

فضای خالی در دیسک: کش پروکسی بر روی دیسک روتر ذخیره می‌شود. برای کش کردن حداقل 50–100 مگابایت فضای خالی نیاز است. از طریق Files در Winbox بررسی کنید. در روترهایی با حافظه فلش کوچک (8 مگابایت و کمتر) بهتر است کش کردن را غیرفعال کنید.

نقشه شبکه: یادداشت کنید یا بکشید که چه زیرشبکه‌هایی دارید، کدام رابط به اینترنت (WAN) متصل است و کدام به شبکه داخلی (LAN). بدون این درک، نمی‌توانید قوانین NAT را برای پروکسی شفاف تنظیم کنید.

گام 1: فعال کردن پروکسی وب در MikroTik

فعال کردن پروکسی وب ساده‌ترین گام است. همه چیز از طریق رابط گرافیکی Winbox در چند دقیقه انجام می‌شود.

از طریق Winbox (توصیه می‌شود):

1. Winbox را باز کنید و به روتر متصل شوید
2. در منوی سمت چپ IP → Web Proxy را انتخاب کنید
3. در پنجره باز شده، گزینه Enabled را علامت بزنید
4. پورت را تنظیم کنید - به طور پیش‌فرض 8080 است، می‌توانید آن را حفظ کنید یا تغییر دهید
5. در فیلد Max Cache Size اندازه کش را مشخص کنید (به عنوان مثال، 100 مگابایت) یا اگر فضا اجازه می‌دهد unlimited را انتخاب کنید
6. روی Apply و سپس OK کلیک کنید

از طریق ترمینال (برای کسانی که خط فرمان را ترجیح می‌دهند):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB
  

پس از فعال‌سازی، بررسی کنید که پروکسی راه‌اندازی شده است. در ترمینال دستور زیر را اجرا کنید:

/ip proxy print
  

در خروجی باید enabled: yes باشد. اگر enabled: no را مشاهده کردید - به این معنی است که مشکلی پیش آمده است، مراحل را دوباره تکرار کنید.

در این مرحله پروکسی فعال است، اما هنوز به طور خودکار ترافیک را ضبط نمی‌کند. کاربران باید به صورت دستی آن را در تنظیمات مرورگر خود وارد کنند (IP روتر، پورت 8080). برای انجام این کار به طور خودکار برای کل شبکه - نیاز به حالت شفاف است، که در گام بعدی توضیح خواهیم داد.

همچنین به پارامتر Cache Path توجه کنید - این نشان می‌دهد که کش کجا ذخیره می‌شود. به طور پیش‌فرض این حافظه داخلی روتر است. اگر شما یک حافظه USB یا کارت حافظه دارید، بهتر است کش را به آنجا منتقل کنید - این کار حجم را افزایش می‌دهد و فرسودگی حافظه داخلی را کاهش می‌دهد.

گام 2: تنظیم پروکسی شفاف از طریق فایروال NAT

پروکسی شفاف حالتی است که در آن تمام ترافیک HTTP از شبکه محلی به طور خودکار از طریق سرور پروکسی هدایت می‌شود. کاربران نیازی به تنظیم چیزی در مرورگرهای خود ندارند. از نظر کارمند، همه چیز به طور عادی کار می‌کند، اما در واقع هر درخواست از طریق پروکسی عبور می‌کند.

این از طریق یک قانون NAT در فایروال MikroTik پیاده‌سازی می‌شود. قانون تمام ترافیک TCP خروجی را به پورت 80 (HTTP) ضبط کرده و آن را به پورت پروکسی (8080) هدایت می‌کند.

از طریق Winbox:

1. به IP → Firewall → NAT بروید
2. دکمه + (افزودن قانون) را فشار دهید
3. در زبانه General تنظیمات زیر را انجام دهید:
   • Chain: dstnat
   • Protocol: tcp
   • Dst. Port: 80
   • In. Interface: رابط LAN شما (به عنوان مثال، ether2 یا bridge-local)
4. در زبانه Action تنظیمات زیر را انجام دهید:
   • Action: redirect
   • To Ports: 8080
5. روی OK کلیک کنید

از طریق ترمینال:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080
  

ether2 را با نام رابط LAN خود جایگزین کنید. اگر چندین رابط LAN دارید که در یک bridge ادغام شده‌اند، نام رابط bridge را مشخص کنید.

پس از افزودن قانون، عملکرد آن را بررسی کنید: هر سایت HTTP را از کامپیوتر در شبکه محلی باز کنید. اگر پروکسی به درستی کار کند - صفحه باز می‌شود و در لاگ‌های پروکسی (IP → Web Proxy → Access) یک رکورد ظاهر می‌شود. اگر صفحه باز نشود - نام رابط و پورت پروکسی را بررسی کنید.

گام 3: قوانین فیلتر کردن - مسدود کردن سایت‌ها و دسته‌ها

این بخش کلیدی برای کسانی است که می‌خواهند دسترسی کارکنان به اینترنت را کنترل کنند. پروکسی وب در MikroTik اجازه می‌دهد تا قوانین انعطاف‌پذیری ایجاد کنید: مسدود کردن دامنه‌های خاص، الگوهای URL، یا برعکس - فقط اجازه دادن به منابع خاص.

قوانین دسترسی در IP → Web Proxy → Access تنظیم می‌شوند. هر قانون دارای شرایط (چه چیزی باید بررسی شود) و عمل (چه کاری باید انجام دهد: allow یا deny) است.

مسدود کردن دامنه خاص (به عنوان مثال، vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Block VK"
add dst-host=*.vk.com action=deny comment="Block VK subdomains"
  

مسدود کردن بر اساس الگوی URL (به عنوان مثال، تمام صفحات YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Block YouTube"
add dst-host=youtube.com action=deny comment="Block YouTube main"
  

اجازه دادن به دسترسی فقط برای یک زیرشبکه خاص (به عنوان مثال، فقط بخش IT می‌تواند به GitHub دسترسی داشته باشد):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny
  

مسدود کردن بر اساس پسوند فایل‌ها (ممنوعیت دانلود .exe، .torrent):

/ip proxy access
add path=*.exe action=deny comment="Block EXE downloads"
add path=*.torrent action=deny comment="Block Torrent files"
add path=*.zip action=deny comment="Block ZIP downloads"
  

به ترتیب قوانین توجه کنید: MikroTik آن‌ها را از بالا به پایین بررسی می‌کند و در اولین تطابق متوقف می‌شود. قوانین allow برای IPهای خاص باید بالاتر از قوانین deny برای همان دامنه‌ها قرار داشته باشند.

از طریق Winbox، قوانین در IP → Web Proxy → زبانه Access → دکمه + اضافه می‌شوند. رابط کاربری به راحتی قابل درک است: شرط (Source Address، Destination Host، Path، Method) و عمل (Allow/Deny) را انتخاب کنید.

گام 4: کش کردن ترافیک برای صرفه‌جویی در کانال

کش کردن یکی از دلایل اصلی است که چرا پروکسی را در MikroTik در دفاتر کوچک و مؤسسات آموزشی فعال می‌کنند. اصل ساده است: اگر 20 کارمند یک صفحه خبری یکسان را باز کنند، بدون کش، روتر آن را 20 بار دانلود می‌کند. با کش - یک بار، و 19 بار دیگر داده‌ها را به سرعت از حافظه محلی روتر دریافت می‌کنند.

تنظیمات کش در IP → Web Proxy قرار دارد. پارامترهای اصلی:

تنظیمات از طریق ترمینال:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d
  

برای بررسی کارایی کش، از دستور زیر استفاده کنید:

/ip proxy monitor
  

به شاخص‌های hits و misses توجه کنید. شاخص خوب زمانی است که hits بین 20–40% از کل درخواست‌ها باشد. اگر hits نزدیک به صفر باشد - یا بیشتر ترافیک HTTPS است (که کش نمی‌شود)، یا کش خیلی کوچک است.

نکته مهم: وب‌سایت‌های مدرن به طور فزاینده‌ای از هدرهای Cache-Control: no-store یا no-cache استفاده می‌کنند، که کش کردن را ممنوع می‌کند. بنابراین در عمل، کارایی کش در سال 2024 کمتر از 5–10 سال پیش است. با این حال، برای منابع ایستا (تصاویر، CSS، فایل‌های JS) کش هنوز به خوبی کار می‌کند.

گام 5: اتصال به سرور پروکسی خارجی از طریق MikroTik

این جذاب‌ترین سناریو برای کسانی است که می‌خواهند نه تنها ترافیک را فیلتر کنند، بلکه به طور کامل IP آدرسی را که شبکه شرکتی یا دستگاه‌های خاص از آن به اینترنت متصل می‌شوند، کنترل کنند. MikroTik از قابلیت پروکسی والد پشتیبانی می‌کند - زمانی که تمام درخواست‌ها از پروکسی محلی به یک پروکسی خارجی بالادستی منتقل می‌شوند.

این در عمل چه فایده‌ای دارد:

• تغییر IP برای کل شبکه - تمام ترافیک دفتر از طریق IP پروکسی خارجی عبور می‌کند، نه از طریق IP واقعی ارائه‌دهنده شما
• دور زدن محدودیت‌های منطقه‌ای - دسترسی به منابعی که در منطقه شما مسدود شده‌اند
• IPهای مختلف برای دستگاه‌های مختلف - از طریق مسیریابی، ایستگاه‌های کاری مختلف از پروکسی‌های خارجی مختلف استفاده می‌کنند
• حفاظت از IP واقعی شرکت - سرویس‌های خارجی IP پروکسی را می‌بینند، نه آدرس شرکتی شما

تنظیم پروکسی والد از طریق Winbox:

1. به IP → Web Proxy بروید
2. بخش پروکسی والد را پیدا کنید
3. آدرس پروکسی والد را وارد کنید - آدرس IP سرور پروکسی خارجی
4. پورت پروکسی والد را مشخص کنید - پورت پروکسی (معمولاً 8080، 3128 یا دیگر)
5. روی Apply کلیک کنید

از طریق ترمینال:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080
  

203.0.113.10 و 8080 را با داده‌های واقعی سرور پروکسی خود جایگزین کنید.

برای وظایف شرکتی که در آن ثبات و ناشناسی اهمیت دارد، از پروکسی‌های مسکونی به عنوان پروکسی والد استفاده می‌شود - زیرا آن‌ها آدرس‌های IP واقعی کاربران خانگی را دارند که ترافیک را از ترافیک کاربر معمولی غیرقابل تشخیص می‌کند. این موضوع به ویژه در کار با پلتفرم‌هایی که رفتار و نوع اتصال را تحلیل می‌کنند، اهمیت دارد.

اگر تیم شما نیاز به شبیه‌سازی ترافیک موبایل دارد - به عنوان مثال، برای آزمایش کمپین‌های تبلیغاتی در Facebook Ads یا Instagram از دستگاه‌های موبایل - پروکسی‌های موبایل به عنوان پروکسی والد مناسب هستند. آن‌ها از طریق سیم‌کارت‌های واقعی اپراتورهای ارتباطی کار می‌کنند و IPهای شبکه‌های موبایل 3G/4G/5G را ارائه می‌دهند.

نظارت و ثبت درخواست‌ها

یکی از مهم‌ترین دلایل استفاده از پروکسی در محیط‌های شرکتی، امکان مشاهده فعالیت‌های کاربران در اینترنت است. پروکسی وب MikroTik قادر است تمام درخواست‌های HTTP را ثبت کند: چه کسی (آدرس IP)، به کجا (URL)، چه زمانی، چه متدی از درخواست و وضعیت پاسخ.

فعال کردن ثبت:

/ip proxy
set log-connect=yes
  

پس از فعال‌سازی، لاگ‌ها در Log (منو در Winbox) ظاهر می‌شوند. برای مشاهده راحت‌تر، بر اساس موضوع web-proxy فیلتر کنید.

برای ذخیره‌سازی بلندمدت لاگ‌ها و تحلیل راحت‌تر، ارسال آن‌ها به یک سرور Syslog خارجی را تنظیم کنید:

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy
  

192.168.1.100 را با IP سرور syslog خود جایگزین کنید. می‌توانید از Graylog، Splunk یا یک rsyslog ساده بر روی Linux به عنوان سرور syslog استفاده کنید.

همچنین دستور زیر برای مشاهده آمار پروکسی در زمان واقعی مفید است:

/ip proxy monitor
  

در اینجا شما تعداد اتصالات فعال، تعداد کل درخواست‌ها، تعداد hits در کش و حجم داده‌های منتقل شده را مشاهده خواهید کرد. این داده‌ها به شما کمک می‌کند بار روی روتر و کارایی کش را ارزیابی کنید.

نکته مهم در مورد GDPR و قوانین کار: اگر شما ترافیک کارکنان را ثبت می‌کنید، مطمئن شوید که این موضوع در قرارداد کار یا سیاست امنیتی شرکت پیش‌بینی شده است. در برخی کشورها، نظارت بر فعالیت‌های اینترنتی کارکنان بدون اطلاع آن‌ها نقض قوانین است.

خطاهای رایج و نحوه رفع آن‌ها

ما رایج‌ترین مشکلاتی که در هنگام تنظیم پروکسی وب در MikroTik با آن‌ها مواجه می‌شوید و راه‌حل‌های آن‌ها را جمع‌آوری کرده‌ایم.

خطا 1: اینترنت پس از تنظیم پروکسی شفاف قطع شده است

دلیل: رابط LAN در قانون NAT به درستی مشخص نشده است، یا قانون در موقعیت نادرستی قرار دارد.

راه‌حل: نام رابط را با دستور /interface print بررسی کنید. مطمئن شوید که دقیقاً همان رابطی را مشخص می‌کنید که کاربران به آن متصل هستند. اگر از bridge استفاده کرده‌اید - نام bridge را مشخص کنید، نه پورت فیزیکی.

خطا 2: سایت‌های HTTPS توسط قوانین پروکسی وب مسدود نمی‌شوند

دلیل: پروکسی وب در MikroTik ترافیک HTTPS را ضبط نمی‌کند. قوانین در IP → Web Proxy → Access فقط برای HTTP کار می‌کنند.

راه‌حل: برای مسدود کردن سایت‌های HTTPS از پروتکل‌های Layer 7 یا لیست‌های آدرس در فایروال استفاده کنید. به عنوان مثال، آدرس‌های IP سایت مورد نظر را به لیست اضافه کنید و آن را از طریق IP → Firewall → Filter Rules مسدود کنید.

خطا 3: پروکسی کار می‌کند، اما کش پر نمی‌شود

دلیل: بیشتر وب‌سایت‌های مدرن از HTTPS و هدرهایی استفاده می‌کنند که کش کردن را ممنوع می‌کنند. کش فقط برای HTTP کار می‌کند.

راه‌حل: این رفتار طبیعی برای وب مدرن است. کش فقط با منابع ایستا (تصاویر، فایل‌ها) از وب‌سایت‌های HTTP پر می‌شود. اگر کش حیاتی است - به راه‌حل‌های تخصصی مانند Squid بر روی یک سرور جداگانه با SSL-bump فکر کنید.

خطا 4: روتر پس از فعال کردن پروکسی کند شده است

دلیل: پردازنده ضعیف روتر نمی‌تواند بار ناشی از پروکسی را در تعداد زیادی از کاربران مدیریت کند.

راه‌حل: بار CPU را با دستور /system resource print بررسی کنید. اگر CPU به طور مداوم بالای 80% است - اندازه کش را کاهش دهید یا پروکسی را به یک سرور جداگانه (Squid بر روی Ubuntu/Debian) منتقل کنید. در این صورت MikroTik فقط به عنوان یک دروازه استفاده می‌شود که ترافیک را به پروکسی خارجی هدایت می‌کند.

خطا 5: پروکسی والد کار نمی‌کند - سایت‌ها از طریق IP واقعی باز می‌شوند

دلیل: پروکسی والد در MikroTik فقط به ترافیکی اعمال می‌شود که واقعاً از طریق پروکسی وب عبور می‌کند. درخواست‌ها و ترافیک HTTPS که توسط قانون NAT ضبط نشده‌اند، به طور مستقیم می‌روند.

راه‌حل: مطمئن شوید که قانون پروکسی شفاف (هدایت به پورت 8080) فعال است و در موقعیت درستی قرار دارد. برای هدایت کامل تمام ترافیک از طریق پروکسی خارجی، نیاز به تنظیمات پیچیده‌تری با استفاده از مسیریابی مبتنی بر سیاست دارید.

نتیجه‌گیری

تنظیم پروکسی وب در MikroTik یک راه‌حل عملی برای کنترل ترافیک شرکتی بدون سرورهای اضافی و مجوزها است. در چند مرحله، شما می‌توانید: فیلتر کردن سایت‌های ناخواسته، کش کردن برای صرفه‌جویی در پهنای باند، ثبت فعالیت کاربران و امکان مسیریابی ترافیک از طریق پروکسی‌های خارجی را به دست آورید.

نکته اصلی که باید به یاد داشته باشید: پروکسی داخلی MikroTik به خوبی با ترافیک HTTP کار می‌کند، اما برای حفاظت کامل از شبکه شرکتی مدرن که 95% ترافیک آن HTTPS است، قابلیت‌های آن کافی نیست. در چنین مواردی، MikroTik به عنوان یک دروازه و مسیریاب استفاده می‌شود و وظایف فیلتر کردن و بازرسی ترافیک به راه‌حل‌های تخصصی واگذار می‌شود.

اگر هدف شما هدایت ترافیک کل شبکه شرکتی از طریق یک پروکسی خارجی مطمئن با IP ثابت یا مجموعه‌ای از آدرس‌ها است، به پروکسی‌های دیتا سنتر توجه کنید - آن‌ها سرعت بالا و اتصال پایدار را فراهم می‌کنند، که در استفاده به عنوان پروکسی والد برای یک دفتر کامل حیاتی است. برای وظایفی که حداکثر ناشناسی اهمیت دارد و ترافیک نباید قابل تشخیص باشد، پروکسی‌های مسکونی یا موبایل گزینه‌های مناسبی هستند.