Настройка оборудования Mikrotik
нескольких адресов, которые задействованы для преобразования. По сути является частным случаем “src-nat”. src-nat
Download 1.4 Mb. Pdf ko'rish
|
конспект к курсу
- Bu sahifa navigatsiya:
- Рекомендации общие
- Рекомендации по проектированию
|
нескольких адресов, которые задействованы для преобразования. По сути является частным случаем “src-nat”. src-nat – заменить адрес источника траффика на адрес, указанный в “To Addresses”. Так же возможна подмена порта на порт, указанный в “To Ports”. Опция работает только при указании цепочки “srcnat” либо других относящихся к ней. Список адресов В списке адресов возможно добавление: адресов, диапазонов адресов, подсетей и доменных имен. Возможно указать таймаут списка. Возможна фильтрация группы адресов одним правилом и автоматическое добавление адресов в заданные списки адресов, в т. ч. на заданный промежуток времени. FastTrack С помощью FastTrack можно увеличить производительность маршрутизатора за счет того, что трафик будет направлен в обход ядра операционной системы. FastTrack работает только с TCP и UDP. Не будут работать: Queues, Firewall Filter и Mangle правила. /ip firewall filter add action=fasttrack-connection chain=forward comment="Permit FastTrack connections" connection- state=established,related disabled=yes Отслеживание соединений Через графический интерфейс: IP => Firewall => Connections Через консоль: /ip firewall connection Брандмауэр в реальной жизни Рекомендации общие: Ограничить управляющий траффик: o ограничить доступ по SSH (закрыть, изменить порт, создать правило вносящее в «черный» список после X неудачных попыток входа). o закрыть доступ по Telnet. o Использовать https://, а не http:// . Не использовать имена пользователей по умолчанию: “admin”, “administrator” и др. Использовать сложные пароли. Запретить DNS-запросы из-вне. Рекомендации по проектированию: Выбрать тип файервола (нормально открытый или закрытый). Располагать частные правила выше общих. Минимизировать количество правил, которое должен пройти пакет: o Выбирать оптимальный порядок прохождения правил. o Вверху списка установить правило разрешающее “established” и “related” траффик. o Запретить “invalid” траффик. o По возможности объединять правила в одно. Делать комментарии к правилам. Правила одной цепочки располагать друг за другом. Firewall Filter должен разрешать прохождение трафика NAT-правил. Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф Страница 43 из 47 Модуль 7. QoS (Quality of Service) Введение в QoS QoS (англ. quality of service — качество обслуживания) — этим термином в области компьютерных сетей называют вероятность того, что сеть связи соответствует заданному соглашению о трафике, или же, в ряде случаев, неформальное обозначение вероятности прохождения пакета между двумя точками сети. Для большинства случаев качество связи определяется четырьмя параметрами: Полоса пропускания (Bandwidth), описывает номинальную пропускную способность среды передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (Kbps), Mbit/s (Mbps), Gbit/s (Gbps). Задержка при передаче пакета (Delay), измеряется в миллисекундах. Колебания (дрожание) задержки при передаче пакетов — джиттер. Потеря пакетов (Packet loss). Определяет количество пакетов, потерянных в сети во время передачи. Для простоты понимания канал связи можно представить в виде условной трубы, а пропускную способность описать как функцию двух параметров: диаметра трубы и её длины. Когда передача данных сталкивается с проблемой «бутылочного горлышка» для приёма и отправки пакетов на маршрутизаторах, то обычно используется метод FIFO: первый пришел — первый ушёл (First In — First Out). При интенсивном трафике это создаёт заторы, которые разрешаются крайне простым образом: все пакеты, не вошедшие в буфер очереди FIFO (на вход или на выход), игнорируются маршрутизатором и, соответственно, теряются безвозвратно. Более разумный метод — использовать «умную» очередь, в которой приоритет у пакетов зависит от типа сервиса — ToS. Необходимое условие: пакеты должны уже нести метку типа сервиса для создания «умной» очереди. Обычные пользователи чаще всего сталкиваются с термином QoS в домашних маршрутизаторах с поддержкой QoS. Например, весьма логично дать высокий приоритет пакетам VoIP и низкий — пакетам FTP, SMTP и клиентам файлообменной сети. В MikroTik технология QoS реализуется с помощью очередей. Есть два вида очередей: “Simple Queue” и “Queue Tree” Download 1.4 Mb. Do'stlaringiz bilan baham: 
|