Mikrotik ограничение количества клиентов wifi

Обновлено: 09.01.2025

В данной статье мы постараемся разобраться, как настроить на MikroTik QoS (англ. quality of service – качество обслуживания). Благодаря сервису QoS, в MikroTik можно задать ограничение скорости по IP адресу, подсети, протоколу. Кратковременно увеличить скорость (Burst) и назначить приоритет трафика. А также распределить трафик между пользователями (равномерно или в зависимости от загрузки канала). Как выполнить настройку этих параметров, мы подробно изучим на практических примерах.

Возможности QoS в MikroTik

С помощью технологии QoS на MikroTik мы можем установить приоритет трафика для важных хостов и протоколов в локальной сети. Например, если два компьютера одновременно скачивают большой файл, то скорость между ними может поделиться поровну или один из компьютеров может забрать себе большую скорость. Благодаря данной технологии, можно указать приоритетный хост, что позволит ему гарантированно забирать большую часть скорости.

А также можно ограничить скорость. Обычно это используют для гостевых сетей, ограничивая максимальную скорость.

Кроме этого, QoS используется для трафика чувствительного к задержкам например, IP-телефония. Позволяя при активных загрузках сохранять качественную связь.

Типы очередей MikroTik

В MikroTik QoS создается с помощью очередей, что позволяет установить ограничение скорости по ip адресу, подсети, протоколу, порту и др. Можем ограничить P2P трафик или кратковременно увеличить скорость для пользователя (режим вспышка).

При превышении установленных значений мы можем ограничить скорость несколькими способами:

Удалить все пакеты;
Задержать пакеты и передавать их по возможности.

Различие limit-at и max-limit

Simple Queue vs Queue Tree

На MikroTik QoS реализовано несколькими способами:

Simple Queue – простые очереди;
Queue Tree – тип очереди, в котором правила иерархически организованы.

Каждый из этих способов имеет свои достоинства и недостатки. Основные отличия данных типов приводятся в таблице ниже.

Из рисунка схемы прохождения трафика мы видим, что важна последовательность правил, так как сначала обрабатывается Queue Tree, а затем Simple Queue. Из этого следует что:

Simple Queue может влиять на правила Queue Tree.

Чтобы не запутаться в правилах очередей, желательно использовать какой-то один инструмент из двух имеющихся.

Настройка QoS Simple Queue на Микротик

Прежде чем узнать, как настроить QoS MikroTik, используя Simple Queue, вспомним их расположение на схеме прохождения трафика:

Общие принципы работы, которые используют данные правила:

Можно использовать маркировку пакетов;
Поддерживаются родительские очереди;
Порядок очередей играет роль:
- Частные случаи необходимо ставить выше;
- Общие случаи ставить ниже;
QoS MikroTik: ограничение скорости всем соединениям

Давайте настроим на MikroTik ограничение скорости для всех хостов локальной сети при помощи Simple Queue. Для этого откроем пункт главного меню “Queues”, фирменной утилиты Winbox и перейдем:

Нас интересуют два параметра, которые задают направление потока:
- Target – откуда идет трафик (интерфейс, IP-адрес, адрес сети).
- Dst – куда (интерфейс, IP-адрес, адрес сети).
Важно! Для параметра Target имеется в виду источник внутри локальной сети. Если ему присвоить значение WAN (внешний интерфейс), то правило будет работать неправильно;

Создадим родительское правило для всех соединений, которое ограничит скорость до 50 Мбит/с:

Где Dst.: ether1 – внешний интерфейс (WAN).

Таким образом, мы настроили QoS MikroTik, ограничив ширину канала для всех исходящих подключений до 50 Мбит/с.

Ограничение скорости подсети

Добавим правило для основной подсети. Оно будет схожим с предыдущим, отличие в том, что оно будет дочерним.

Max Limit у дочерней очереди должен быть меньше или равен Max Limit родительской.

Следующей настройкой ограничим скорость для гостевой подсети Wi-Fi:

В результате, мы установили роутеру MikroTik ограничение скорости для подсети.

Ограничение скорости по IP

Последним шагом, расположим созданную запись под родительской:

Так на MikroTik можно установить ограничение скорости по IP-адресу.

Режим Вспышка (Burst)

Модернизируем наше правило для гостевой сети:

QoS MikroTik равномерное распределение ширины канала

Чтобы избежать ситуации, когда один пользователь занимает весь канал, попробуем настроить QoS MikroTik таким образом, чтобы канал между пользователями делился равномерно. Это позволяет сделать тип очереди PCQ (Per Connection Queuing).

При таком типе очереди канал будет равномерно распределяться между хостами сети.

QoS MikroTik: настраиваем приоритет трафика

Давайте разберемся, что же такое приоритет трафика? Для решения каких практических задач он используется и как настроить его на MikroTik.

Принцип работы можно представить так: правило с более высоким приоритетом первым достигнет значения Max Limit с большей вероятностью, чем правило с низким приоритетом. Например, есть локальная сеть и гостевая сеть. Если у локальной сети назначен более высокий приоритет трафика и устройства начали загрузку с разных сетей, то клиенты из локальной сети заберут на себя ширину канала с большей долей вероятности.

Необходимо учитывать, что приоритет:

Помимо приоритета, есть параметр Limit At. Им задают скорость, которая будет гарантированно предоставлена.

Limit-at используют для случаев конкуренции в приоритетах, чтобы избежать ситуацию, когда сеть с наивысшим приоритетом забирает на себя весь трафик.

Если гарантированная скорость не используется, то она может быть занята другими правилами.

Сумма всех Limit-at должна быть меньше либо равна Max Limit.

Выполним настройку на MikroTik приоритет трафика для основной сети, при этом установим гостевой сети гарантированный канал связи равный 5 Мбит/с.

А для гостевой сети укажем гарантированный канал:

Приоритет трафика для sip телефонии

Как говорилось ранее sip или IP телефония очень чувствительна к задержкам, поэтому обычно ей назначают высокий приоритет.

Давайте создадим простое правило QoS при помощи Simple Queue, где трафик направленный из основной сети до sip сервера, будет приоритетнее остального.

Так как для Simple Queue важен порядок правил, то следующим шагом выполним сортировку по номеру и поставим наше правило первым:

На этом настройка QoS MikroTik по приоритету трафика закончена.

Еще раз хочу обратить внимание на правильные значения Limit At и Max Limit:

Max Limit дочерней очереди меньше, либо равен Max Limit родительской очереди.
Сумма ВСЕХ Limit At дочерних очередей меньше, либо равна Max Limit родительской очереди.

Заключение

Часто возникают ситуации, когда необходимо предоставить доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.Поэтому иногда их нужно изолировать друг от друга, разделять. С оборудованием Mikrotik это сделать достаточно легко.

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем. В качестве локальной сети выступает 192.168.106.0/24. Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? – о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.
- Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
- Upload – скорость отправки данных;
- Download – скорость загрузки;
- Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.
При указании скорости можно использовать индексы k и M:
- k – скорость в кбит/сек;
- M – скорость в Мбит/сек;
Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.
- Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
- Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
- Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.
Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки. В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходит из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов. В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Шаг 7. Запрещаем доступ в локальную сеть

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера. Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

Рассмотрим настройку Wi-Fi на микротиках для правильной работы со всеми Вашими девайсами.

Настройка и оптимизация wi-fi 2Ghz диапазона на Mikrotik

На всех утройствах Mikrotik настройки будут одинаковые. Я их испробовал на RB951, RB751 на hap AC и hap AC lite.

Для начала в программе Winbox, через которую мы подключаемся к Mikrotik перейдем в Wireless на вкладку Wireless.

Не забудьте выбрать Advaced Mode при настройке Wi-Fi, как показано на скриншоте выше.

Вкладка Wireless

Настройка wi-fi 2ghz на микротике

Вы можете сразу установить все настройки со скриншота, кроме SSID, Radio Name и Security Profile. Эти настройки индивидуальны и скорее всего у Вас уже настроен Security Profile и SSID, если Вы пытаетесь оптимизировать сигнал вай-фай. Опишу все действия.

Band: 2Ghz-B/G/N выбираем для того, чтобы к Вашему Wi-Fi могли подключиться как старые, так и новые устройства.

Channel Width: 20Mhz для максимального охвата. Данная ширина канала покрывает больше, чем остальные и проблем с тем, что девайс будет видеть микротик, а микротик не будет видеть девайса из-за слабого передатчика в нем не будет.

WPS Mode: Disabled для безопасности. На данный момент многими признано, что использование WPS небезопасно и неудобно.

Frequency Mode: manual-txpower чтобы выбрать одну мощность сигнала для всех рейтов. Так сохранится доступность точки доступа или роутера по всему радиусу действия.

Country: russia3 чтобы не нарушать законы РФ по мощности передатчиков и доступных каналов Wi-Fi. С выбором russia3 будьте уверены, что все устройства будут работать с Вашим вай-фаем.

Installation: indoor даст понять устройству, что возможны помехи из-за стен и других устройств.

WMM Support: enabled для определения трафика и приоретизации. При просмотре видео или звонках через интернет приоритет будет отдаваться именно такому трафику.

Вкладка Advanced

Настройки Advanced для Wi-Fi Микротик

Можете сразу всё поставить как на скриншоте, а так же прочитать описание ниже, что именно Вы сделали.

Distance: dynamic с этим параметром Mikrotik будет сам определять дистанцию и подстраиваться под неё.

Adaptive Noise Immunity: ap and client mode Данный параметр работает только с недавно выпущенными точками доступа и позволяет точке понимать собственный отраженный от различных поверхностей сигнал и игнорировать его. Происходит снижение шума и передача данных становится эффективней.

Preamble Mode: both для возможности подключения любых устройств. Short на данный момент поддерживается не всеми передатчиками, поэтому целесообразней использовать обе преамбулы.

Вкладка HT

Вкладка HT настройки wi-fi на микротик

Вкладка Tx Power

Выбор мощности сигнала Tx Power Mikrotik

Это все настройки, которые необходимо оптимизировать для работы wi-fi 2Ghz на микротиках. Оцените результат, напишите комментарий. И давайте переходить к настройке 5Ghz

Настройка и оптимизация wi-fi 5Ghz диапазона на Mikrotik

Настройка 5 гигагерцового диапазона не сильно отличается от настройки 2 гигагерцового, поэтому рассмотрим только отличия.

Вкладка Wireless

Настройка 5Ghz в Mikrotik Wi-Fi

Band: 5Ghz-A/N/AC все протоколы, для поддержки всех устройств.

Остальные вкладки 5Ghz Wi-fi в Микротик

Все остальные вкладки настроавиваем так же, как и 2Ghz wi-fi. Разницы никакой нет.

Хитрости Mikrotik для идеальной работы wi-fi и интернет

С помощью Queues мы можем убрать проблему торрентов, скачивальщиков и так далее. Проблема очень известна, но давайте рассмотрим пример.

Queues в Mikrotik

Давайте создадим правило очереди трафика для правильной приоретизации трафика, чтобы он делился по необходимой скорости для каждого клиента сети.

Во все лимиты ставим скорость из расчета скорость тарифа -7-10%, иначе ограничение не будет срабатывать. Burst Time лучше поставить 0-2 секунды.

Во вкладке Advanced необходимо выбрать всё так, как показано на скриншоте ниже.

Для проверки работы очереди трафика можете попробовать скачать что-то на компьютере и в тоже время зайти на youtube и запустить видео в максимальном качестве на другом устройстве. Больше проблемы с работой в таком сценарии не будет.

г. Санкт-Петербург, Крестовский остров, Северная дорога, дом 12.

г. Санкт-Петербург, ст. м. «Приморская»,
ул. Одоевского, д. 24 к. 1, 2 этаж

Маршрутизаторы MikroTik предоставляют гибкие возможности для настройки фильтрации и распределения трафика.

Введение

"Сетевая безопасность бывает хай и нехай".
Фраза, найденная в сети Интернет

С момента своего появления сеть Интернет многократно выросла. Также многократно увеличились такие показатели сети, как предоставляемые ресурсы, скорости обмена информацией, скорости подключения. Однако вместе с ростом полезных ресурсов, многократно выросли риски кражи информации, использования ресурсов не по назначению и другие опасности.Таким образом, каждый системный администратор ежедневно сталкивается с вопросами защиты обслуживаемых ресурсов.

Данная статья написана с целью описать функционал фильтрации трафика в операционной системе RouterOS, производства компании MikroTik.

Особенности работы файрвола

Для базового понимания работы файрвола, необходимо ознакомиться с понятиями цепочки (chain), состояния соединения (connection state), условия и действия (action).

Цепочки (chain)

При фильтрации трафик, в зависимости от своего предназначения попадает в одну из цепочек (chain) обработки трафика. В фильтре предопределены три основные цепочки:
- input входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
- output Исходящий трафик. Трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
- forward Трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом, данный трафик попадает в цепочку forward.
Таким образом мы видим, что для защиты самого маршрутизатора необходимо использовать цепочку input, а для защиты и фильтрации трафика между сетями необходимо использовать цепочку forward.

Кроме того, администратор имеет возможность создавать свои собственные цепочки обработки трафика, к которым можно обращаться из основных цепочек. Данная возможность будет рассмотрена в дальнейшем.

Состояние соединения (connection state)

Каждое из сетевых соединений MikroTik относит к одному из 4 состояний:
- New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
- Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
- Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
- Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.
Исходя из вышеизложенного, мы видим, что хорошим вариантом настройки фильтрации пакетов будет следующий набор условий:
1. Обрабатывать новые соединения (connection state = new), принимая решение об пропуске или блокировке трафика.
2. Всегда пропускать соединения в состоянии established и related, так как решение о пропуске этого трафика было принято на этапе обработки нового соединения.
3. Всегда блокировать трафик, для которого состояние соединения равно invalid, потому что этот трафик не относится ни к одному из соединений и фактически является паразитным.
При прохождении пакета через фильтр, маршрутизатор последовательно проверяет соответствие пакета заданным условиям, начиная от правила, расположенного первым. и последовательно проверяя пакет на соответствие правилам номер два, три и так далее, пока не произойдет одно из двух событий:
1. Пакет будет соответствовать заданному условию. При этом сработает соответствующее правило, в котором это условие было задано, после чего обработка пакета будет завершена.
2. Закончатся все условия и пакет не будет признан соответствующим ни одному из них. При этом, по умолчанию он будет пропущен дальше.
Исходя из п.2, нельзя не отметить, что есть две стратегии построения фильтра пакетов:
1. Нормально открытый файрвол. Данный тип настройки можно определить как «Все разрешено, что не запрещено». При этом мы запрещаем прохождение только некоторых типов трафика. Если пакет не соответствует этим типам – он будет пропущен. Обычно данный тип файрвола характерен для мест, где не предъявляется высоких требований к безопасности пользователей, а трафик может быть самым разнообразным и не поддающимся жесткой квалификации. Такая настройка характерна для операторов связи (Интернет-провайдеров), открытых точек доступа, домашних маршрутизаторов.
2. Нормально закрытый файрвол. Данный тип настройки можно определить как «Все запрещено, что не разрешено». При этом разрешается прохождение только определенных типов трафика, а последним правилом в файрволе стоит правило, запрещающее прохождение любого типа трафика. Такой тип настройки файрвола характерен для корпоративного использования, где существуют жесткие требования к безопасности.
Не могу сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая — в определенных условиях.

Теперь подробнее распишем все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка general

Наименование

Описание

Цепочка (см. выше).
Варианты в списке: input, output, forward.

Если ввести свое название – получим свою цепочку.

Адрес источника пакета. Варианты заполнения поля:

Один адрес. Например, 192.168.0.5

Подсеть. Например, 192.168.0.0/24

Диапазон адресов. Например, 192.168.0.5-192.168.0.15

Обратите внимание: если вам надо задать несвязанный диапазон адресов, то это нельзя сделать в этом поле, но можно сделать через Src. Address List на закладке Advanced

Адрес назначения пакета. Варианты заполнения поля см. выше

Протокол соединения. TCP, UDP, ICMP и т.п.

Порт, с которого пришел пакет. Поле можно заполнить только если протокол соответствует TCP или UDP.
Варианты заполнения поля:

Один порт. Например, 22.

Диапазон портов. Например, 10000-20000.

Несколько портов. Например ,22,23,25.

Несколько диапазонов портов. Например, 5060-5070,10000-20000 .

Диапазон и несколько портов. Например, 22,23,10000-20000.

Порт, на который пришел пакет. Поле можно заполнить, только если протокол соответствует TCP или UDP.
Варианты заполнения поля см. выше.

Любой порт. Например, или Src. Port, или Dst. Port
Варианты заполнения поля см. выше.

Peer-to-Peer протокол. Пакет относится к одному из P2P протоколов. Например, edonkey или BitTorrent.
Обратите внимание, что шифрованные сессии не идентифицируются посредством данного поля.

Интерфейс, с которого пришел проверяемый пакет. (Не работает, если chain=output, т.к. источник трафика - сам маршрутизатор)

Интерфейс, куда будет передан пакет. (Не работает, если chain=input, так как трафик предназначен для маршрутизатора и дальше передан быть не может).

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports

Состояние соединения. Описывалось выше.

Обратите внимание, что перед частью полей можно поставить флаг восклицательного знака. Этот флаг будет обозначать отрицание. Например:

обозначает что адрес источника любой, кроме 192.168.0.0/24 . Также обратите внимание, что если поле не заполнено, оно должно быть серым. Если вы передумали заполнять поле, чтобы его исключить и сделать серым – нажмите стрелку «вверх», справа от поля.

Закладка Advanced

На этой закладке собраны расширенные опции выбора пакета.

Наименование

Описание

Src. Address List

Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Dst. Address List

Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Layer 7 Protocol

При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.

Внутри пакета содержится определенная строка символов.

Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность.

Например, 1000000-0 = более 1МБ.

Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)

Per Connection Classifier

Src. MAC Address

MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.

Out Bridge Port

Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit

Определяет DSCP, заданный в заголовке пакета.

Размер MSS (Maximum segment size) TCP пакета.

Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.

Флаги TCP соединения.

В заголовке пакета имеется заданная опция протокола Ipv4.

Time To Live – Время жизни пакета соответствует …

Закладка Extra

Эта закладка продолжает список расширенных опций, не поместившихся на закладку Advanced.

Наименование

Описание

Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).

Предназначено для ограничения количества передаваемых пакетов:

Rate – количество пакетов в секунду (минуту/час).

Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate).

Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций.
Поля rate и burst соответствуют таковым в опции Limit.

Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.

Expire - через какой промежуток времени запомненный адрес/порт будут удалены.

Every – из какого числа пакетов.

Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов).
Опцию часто используют при балансировке нагрузки между каналами.

Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)

Src. Address Type

Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)

Dst. Address Type

Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)

Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля:

Weight Threshold = При каком значении сработает.

Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса.

Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023.

High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535.

Например, на скриншоте правило сработает, если будет просканировано 7 и более портов в привилегированном диапазоне; Или 21 и более портов в непривилегированном диапазоне. При этом пауза между поступающими пакетами с одного источника, направленного на разные порты будет не более 3 секунд.

Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.

Пакет является фрагментом другого пакета.

Как мы видим, в маршрутизаторе существует достаточно большое количество правил выбора пакетов, которые позволяют очень гибко и тонко настраивать работы с трафиком.

Теперь, когда мы поняли, на основании каких правил мы можем найти интересующий нас пакет, давайте посмотрим, что можно сделать после срабатывания правила.

Действия при фильтрации пакетов

Действия задаются на закладке Action сформированного правила.

Разрешить прохождение пакета. Дальнейшие действия по фильтрации прекращаются, пакет передается на следующий этап обработки.

add-dst-to-address-list

Добавить адрес назначения пакета в именованный список адресов (address list).
- Address-List – Имя списка адресов. Выбирается из списка или задается новое.
- Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.
add-src-to-address-list

Добавить адрес источника пакета в именованный список адресов (address list).
- Address-List – Имя списка адресов. Выбирается из списка или задается новое.
- Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.
Обратите внимание, что динамические списки адресов являются очень мощным инструментом. Так как мы можем учитывать списки адресов в правилах выбора пакета на закладке Advanced, фактически, таким образом мы можем динамически менять правила фильтрации трафика.

Удалить пакет. Пакет уничтожается и никуда дальше не передается.

Перейти на собственную цепочку (chain) обработки пакетов.

Опция – наименование цепочки.

Занести информацию о пакете в Log-файл маршрутизатора. При этом пакет будет передан на следующее правило. Данная опция часто используется при отладке.

Passthrough

Ничего не делать. Передать пакет на следующее правило. Однако при этом счетчики работают, показывая сколько пакетов соответствовало этому правилу. Обычно используется для статистики.

Досрочно прервать обработку собственной цепочки (chain) и вернуться на следующее правило за правилом с Action=jump, которое передало пакет в эту цепочку.

Очень интересная опция. Может использоваться только с протоколом TCP. Суть в том, что маршрутизатор дает разрешение на создание соединения, при этом выставляя нулевое окно передачи (т.е. скорость соединения = 0). Позволяет «завесить» атакующий хост на этом соединении.

Заключение

В этой части мы разобрались с основными опциями файрвола. Обратите внимание, что условия выбора пакетов одинаковы для всего файрвола и будут нам требоваться в дальнейшем при изучении NAT и расширенной обработки трафика (Mangle). А вот названия цепочек и действия там будут совершенно другими.

Вам помогла эта статья?

Приглашаем пройти обучение в нашем тренинг-центре и научиться настраивать оборудование MikroTik на профессиональном уровне! Узнайте расписание ближайших курсов и бронируйте место!

Читайте также: