Скорость работы RouterOS, или что-то новое о Микротике

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Здравствуйте, уважаемый форумчане!
Накопал новую фичу нынешней RouterOS. Этот был доклад-презентация Микротика в MUM, Mexico 2018.
Начиная с версии 6.41 работа правила блокировки сайтов в файерволе должна быть организована иначе.

К примеру, блокировка Ютюба и Фэйсбука.
Старый вариант для “High Layer7 load”

Код: Выделить всё

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
add name=facebook regexp="^.+(facebook).*\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube
полностью работает за счет процессора, требуя маркировки трафика, и тормозит весь процессор.И это - неправильно. Загрузка процессора идет очень большая!
Использовать Layer7 надо для маркировки пакета когда он соответствует образцу. Layer7 работает только с первыми 10 пакетами по 2кбайт в соединении.
Устарело и старое применение правила блокировки:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
(то же самое делается и для Facebook)
Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:

Код: Выделить всё

/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
Но это правило будет работать для первых 10 пакетов из 2килобайт.
И если мы будем применять привычное для нас правило для “fasttrack-connection”

Код: Выделить всё

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connectionstate=established,related
, то весь поток, начиная с 10 000 байт будет проходить через него.
И мы используем иной вид правила для “fasttrack-connection”
:

Код: Выделить всё

/ip firewall filter
add chain=forward action=fasttrack-connection connection-bytes=10000-0
add chain=forward action=accept connection-bytes=10000-0
Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

Источник:
https://www.youtube.com/watch?v=XkKj9rj4quQ
Последний раз редактировалось MaxoDroid 05 июл 2019, 07:29, всего редактировалось 2 раза.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Еще одна точка зрения на работу блокировок сайтов.
Пример, блокировка сайта "В контакте":

Код: Выделить всё

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com
А мы его тогда любую попытку установления будем обрывать с моментальным обнулением таймаута, и дропать остальные попытки соединения:

Код: Выделить всё

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop
С точки зрения загрузки микротика это как бы и хуже, но зато мы его разгружаем остальными ненужными запросами, так как reject сообщает клиенту, что соединение закрыто и больше нет попыток что-либо еще загрузить.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Просмотрел внимательно источники информации по моим постам выше и отредактировал их, придав им больший смысл.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Ответить