Оптимизация правил фаервола

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

В связи с тем, что RouterOS очень гибка, одну задачу можно выполнить разными способами, поэтому предлагаю создать общий топик, под общим название "Оптимизация правил фаервола".

И первый вопрос у меня, касательно NAT'а.
Я имею у себя дома несколько серверов, в частности HTTP сервер. Для доступа к нему из вне, я прописал след. правила:

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment="To FTP Server" disabled=no dst-port=21 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=21
add action=dst-nat chain=dstnat comment="To HTTP Server" disabled=no dst-port=80 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=80
add action=dst-nat chain=dstnat comment="To HTTPS Server" disabled=no dst-port=443 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=443

А вопрос в следующем: Лучше указать "in-interface=5-WAN-PPPoE", или "dst-address=46.150.***.***". в моём понимании in-interface должно сработать немного быстрее.
Если лучше первый вариант, то возникает вторая проблема, это доступ к серверу из сети, т.к после:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=5-WAN-PPPoE
add action=masquerade chain=srcnat disabled=no out-interface=LAN-Bridge src-address=10.0.0.20-10.0.0.254

dns сервер вернёт внешний IP адрес а роутер не будет знать как его натить...
Как быть в такой ситуации? При условии что прописать в DNS сервер RouterOS мои домены нельзя (запрос на site.ru >=NAT=> 10.0.0.10, а site.ru:8000 >=NAT=> 10.0.0.11)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Не успел решить вопрос выше, как возникла проблема: Имея 450G и достаточные простые настройки фаервола:

Код: Выделить всё

/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=yes tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid disabled=no
add action=jump chain=forward comment="[OFF|ON] SYN Flood protect" connection-state=new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect comment="SYN Flood protect" connection-state=new disabled=no limit=400,5 protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect comment="SYN Flood protect" connection-state=new disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=forward comment="HTTP(S) DoS protect" disabled=no src-address-list="DoS-HTTP(S)"
add action=add-src-to-address-list address-list="DoS-HTTP(S)" address-list-timeout=0s chain=forward comment="HTTP DoS detect" connection-limit=32,32 disabled=no dst-port=80 in-interface=5-WAN-PPPoE protocol=tcp
add action=add-src-to-address-list address-list="DoS-HTTP(S)" address-list-timeout=0s chain=forward comment="HTTPS DoS detect" connection-limit=32,32 disabled=no dst-port=443 in-interface=5-WAN-PPPoE protocol=tcp
add action=accept chain=forward comment="Allow all for all (in)" disabled=no in-interface=LAN-Bridge
add action=accept chain=forward comment="Allow all for all (out)" disabled=no out-interface=LAN-Bridge
add action=log chain=forward comment="LOG Drop all" disabled=no log-prefix=drop
add action=drop chain=forward comment="Drop all" disabled=no

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=5-WAN-PPPoE
add action=masquerade chain=srcnat disabled=no out-interface=LAN-Bridge src-address=10.0.0.11
add action=masquerade chain=srcnat disabled=no out-interface=LAN-Bridge src-address=10.0.0.12
add action=masquerade chain=srcnat disabled=no out-interface=LAN-Bridge src-address=10.0.0.20-10.0.0.254
add action=dst-nat chain=dstnat comment="To FTP Server" disabled=no dst-port=21 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=21
add action=dst-nat chain=dstnat comment="To HTTP Server" disabled=no dst-port=80 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=80
add action=dst-nat chain=dstnat comment="To HTTPS Server" disabled=no dst-port=443 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.10 to-ports=443
add action=dst-nat chain=dstnat comment="To Icecast2 Server" disabled=no dst-port=8000 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.11 to-ports=8000
add action=dst-nat chain=dstnat comment="To Minecraft (HTTP) Server" disabled=no dst-port=8080 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.11 to-ports=80
add action=dst-nat chain=dstnat comment="To Minecraft (MAP) Server" disabled=no dst-port=8123 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.11 to-ports=8123
add action=dst-nat chain=dstnat comment="To Minecraft Server" disabled=no dst-port=25565 in-interface=5-WAN-PPPoE protocol=tcp to-addresses=10.0.0.11 to-ports=25565
add action=dst-nat chain=dstnat comment="To GTA SA:MP Server" disabled=no dst-port=7777 in-interface=5-WAN-PPPoE protocol=udp to-addresses=10.0.0.20 to-ports=7777




/queue type
set 0 kind=pfifo name=default pfifo-limit=50
set 1 kind=pfifo name=ethernet-default pfifo-limit=50
set 2 kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set 3 kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set 4 kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
set 5 kind=none name=only-hardware-queue
set 6 kind=mq-pfifo mq-pfifo-limit=50 name=multi-queue-ethernet-default
set 7 kind=pfifo name=default-small pfifo-limit=10

/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no interface=LAN-Bridge limit-at=0/0 max-limit=3M/3M name="\D1\EE\F1\E5\E4: \C0\ED\E4\F0\E5\E9" packet-marks="" parent=none priority=8 queue=default-small/default-small target-addresses=10.0.0.100/32 total-queue=default-small

/queue interface
set 1-LAN queue=only-hardware-queue
set 2-LAN queue=only-hardware-queue
set 3-LAN queue=only-hardware-queue
set 4-LAN queue=only-hardware-queue
set 5-WAN queue=only-hardware-queue

получаю скорость на торенте в 4-5МБ\с, при этом роутер нагружен на 100% и даже пингуеться через раз. Profiling показывает примерно 50% фаервол и 50% queues.
До этого стоял 750GL, и там были настройки куда параноидальнее, однако торент смело качал 10МБ\с и нагрузка была 80-100%....
В чём дело?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

попробуйте выключить шейпер трафика, позволит понят сколько реально жрет шейпер


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Пока не могу найти времени проверить шейпер, но первый вопрос стал очень актуальным. Как лучше сделать?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Что-то долго на форум не заходил :?
Оба вопроса темы актуальны.
iSupport, шейпер отрубал, ноль эмоций...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
fedor_88
Сообщения: 11
Зарегистрирован: 08 апр 2013, 16:40

RB450G очень надежный шейпер там не очень то и причем, хотя и медлить может. У меня 450G дома. Тянет 100Мбит входного интернета без проблем. С шейпером есть только скачки скорости больше ничего вроде бы не заметил. Даже когда проводил эксперименты с нарезкой и приоритетами. Работал маршрутизатор довольно быстро. У меня было схема 5 машин, более 100 правил маркировки, и дерево приоритета скорости. Систему грузило, но не на столько же... Даже если пустить трафик по 2 каналам и половину пакетов дропить, то такой нагрузки как описано быть не должно. Хотя с 450м была одна фигня, стоял на филиале... Что-то там его б.п. подгорел короче сказали не работает. Ладно, купили новый б.п. поставил - работает. Прошил, сбросил. Работает. Поставил конфигурацию работал дней 10 далее начал "глючить". Причем никак не мог отследить с чем оно связано. Первый раз перестал тупо пускать трафик на один из IP локалки. Второй, видимо у него кеш DNS забился. Новые имена отказался вычитывать старые путал ))) Вообщем так с ним и ничего не придумали.


Ответить