基地台與分享器 - [研究所] MikroTik RouterOS 學習 (持續更新) - 電腦

前往內容


[研究所] MikroTik RouterOS 學習 (持續更新)

v6.36
NeverGiveUp!!! wrote:
v6.35.4...(恕刪)

Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
NeverGiveUp!!! wrote:
v6.36...(恕刪)
v6.36後的第2道防火牆"Raw"


不像firewall filter ,chain分input/output/forward ,只有output/prerouting


prerouting據經驗不是用在防火牆標記封包用嗎?
實驗後測試也是如此,Raw即先將封包做標記,然後再將標記的內容阻擋掉.

當然您自己透過/ip firwall mangle標記,再將標記到的丟給/ip firewall filter過濾也可以.
不過Raw已經整合了,您不必這麼麻煩.

可能是內部先標記有了範圍,省了封包一個個過濾,阻擋時便省力更省資源.
據國外測試阻檔DoS/DDoS攻擊,相較firewall filter硬是省去了8%的資源.
Mikrotik Firewall Raw Feature Test

但Raw真的比filter棒嗎?
客觀來說因新功能剛上路,未經嚴峻測驗不敢斷定.
但因:
chain=output ,無法像chain=input選擇入口(in-interface).
chain=prerouting ,無法像chin=forward選擇出口(out-interface).

習慣用出/入接口標記封包 的用戶使用上會是個大麻煩,就這樣
感謝告知.看來又有新的玩意要去碰碰囉!確實跟Mangle某部分很相似.節省資源的功能也跟Fasttrack作用雷同.只是個人推測認為MikroTik做到後面是想弄這種功能來減輕自家的硬體負擔.而盡量做到最好及不砸到自己低調招牌之根本.
gfx wrote:
v6.36後的第2...(恕刪)


關於Fasttrack.國外論壇有人成功將此指令應用在RB系列使其飆超過500Mbps.
尺就不知了.憑之前逛論壇的印象中應該可以到接近1Gbps(8XXMbps的範圍內).



另外大推你這FW的順序是最好的策略.個人是沒參考.只知道順序放正確.才是FW正規的策略.
gfx wrote:
給您一個概念:網路...(恕刪)
Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
NeverGiveUp!!! wrote:
關於Fasttrack.國外論壇有人成功將此指令應用在RB系列使其飆超過500Mbps.

rb450g與rb850gx2不支援fasttrack....早看破了.

後來朋友改換支援的rb3011,fasttrack剛開始使用真的惡夢
因fasttrack有使用到magle標記的關係,會影響路由 與Qos標記 ,造成策略全失效.
索幸fasttrack不用了...

嗯.個人的RB450G也不曾用過這指令.從v6.33開始有了此指令後就禁用不理會很久了.
gfx wrote:
rb450g與rb850gx2...(恕刪)

ROS對個人來說.今年以來是個人應用已踏入最好的最穩的階段.嘻嘻~
Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
你的RB850Gx2規格很好.如果沒有跑太多應用規則或是占用記憶體.溫度是很穩定恆溫的.
kuanding wrote:
RB850Gx2溫...(恕刪)


補:ROS碰到後面的時候.個人建議學習不要中斷.起碼該建立的基本正規做到即可穩用好幾年.
Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
過去有做過IPSec Site to Site的人一定覺得奇怪,
為何設定firewall filter的白名單後,無法連接到Site to Site的對端?

答案是IPSec Site to Site連結時,本地會透過ICMP確認遠端,也就是我們所熟知的Ping.
當遠端防火牆 把從本地送出的ICMP封包給丟棄,本地就收不到ICMP的回應,
於是IPSec Site to Site通道就無法開啟...

但真的需把ICMP完全打開,讓IPSec Site to Site可使用的同時,
也讓陌生遠端可ping到您的Route wan-ip嗎?

答案是不必的,您只要讓遠端針對IPSec使用的ICMP "destination unreachable"開放就好.

這樣不但解決IPSec Site to Site問題,也不會讓陌生人Ping到您的Route.

但其中最大的謎題也是 為何只要開ICMP的"destination unreachable(目標不可達)",
就不影響IPSec Site to Site使用,希望懂的人可解答.
今天也更新到6.36版了

不過更新前需要注意 如果本身用的是帶有WIFI的機種

且你的WIFI用的是wireless-fp這個package 請先解除安裝後再更新

因為6.36版之後就不再包含wireless-fp 會造成下載錯誤
請安裝cm2或是rep的wireless安裝包後再更新到6.36版
間單說明RAW的功用


最近6.36板新出的Raw功能 基本上可以參考iptables raw的說明
就可以知道RAW這個功能是拿來做什麼的

簡單來說 RAW是位在prerouting以及output的路由區塊
介於HotSpot in以及connection tracking之間 (output則是Decision與tracking之間)
它的優先層級是Routing中最高的 因此順序是

Raw → Mangle → Filter → NAT

但由於Raw是屬於Kernel層級的管控 因此它能做的事情沒辦法像Mangle或是Filter這麼多
只能從事較為簡單的用途 而且他只能管控封包 不能管控連線
但也因為如此 如果會設定的話 對於降低CPU使用率是一大幫助
(因為它不用再透過Mangle以及Filter做處理 直接在這層就幫你解決了)

Raw的應用主要有兩個方向 一個是讓不需要NAT的連線擁有較大的相容性以及穩定性
這個對於有在架設對外的Webproxy的使用者來說很好用

假設你有一台電腦當作防火牆 同時也有架網頁伺服器 那麼你只要將Port 80這個連線的封包設到Raw
那麼所有Port 80的連線就不用再做後端處理 直接就丟給這台電腦上的Web Server

而另外一個則是做過濾功能 它可以把封包在還沒進入到後端前就先丟棄
這多少可以預防DoS攻擊 避免因DoS攻擊而造成路由器癱瘓


看起來好像很有用處 但對於一般環境而言其實實用性不高
原因在於我們的使用環境有很多都跟NAT有關
像是RAW的其中一個action為no track 這個的意思是讓封包通過 但不再丟給後端去處理
可是LAN與WAN之間都得透過NAT才能互通
一旦設定no track 該規則在LAN與WAN之間有可能就會無法連線


所以RAW還是得針對自己的環境來使用才行 不過對於攻擊預防倒是滿有用處的
嗯,之前偷跑RC版時就有注意.國外論壇是說之後就直接REP取代FP(若個人沒記錯的話).
AKSN74 wrote:
今天也更新到6.36...(恕刪)


gfx wrote:
過去有做過IPSec...(恕刪)

AKSN74 wrote:
間單說明RAW的功用...(恕刪)

Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/

492頁 (共676頁)

前往