Những gì tôi giải thích thời gian này là về cách hiệu quả về quản lý băng thông của bộ định tuyến Mikrotik với các quy tắc tính năng mới trên ROS phiên bản 6.xx sử dụng quy tắc lọc Fasttrack Firewall . Phương pháp này sẽ kết hợp với các quy tắc Mangle, Queue Tree và PCQ để chúng tôi có thể quản lý kết nối internet với mạng của mình một cách lý tưởng và ưu tiên gói kết nối mà chúng tôi muốn ưu tiên theo ý muốn.
1. Nâng cấp hệ điều hành Mikrotik Router lên phiên bản mới nhất
Fasttrack Firewall Filter là các quy tắc tính năng mới của phiên bản hệ điều hành router 6.xx. Tại thời điểm này tôi đang sử dụng phiên bản ROS 6.39.2. Nếu bạn vẫn sử dụng phiên bản 5.xx, vui lòng nâng cấp hệ điều hành bộ định tuyến của bạn lên phiên bản mới nhất lúc đầu trước khi chúng tôi có thể triển khai quy tắc này! Mặt khác, việc nâng cấp hệ điều hành router có thể khắc phục bất kỳ sự cố nào trong hệ thống bộ định tuyến gây ra bởi bất kỳ lỗi nào trên hệ thống cần phải được sửa bằng cách nâng cấp hoặc cập nhật lên phiên bản mới nhất của ROS.Không biết cách nâng cấp ROS, hãy xem video này!
2. Cấu hình cơ bản của bộ định tuyến Mikrotik
Trong quá trình thực hiện này, tôi không muốn xung đột giữa nhiều quy tắc mà chúng tôi không hiểu chính xác những gì họ làm. Vì vậy, tốt hơn chúng tôi bắt đầu từ đầu của bộ định tuyến cấu hình cơ bản bằng cách đặt lại cấu hình bộ định tuyến trước đó. Mở winbox System> Reset Configuration , đừng quên, với dấu kiểm trên cấu hình mặc định. Router sẽ tự động khởi động lại và thiết lập lại cấu hình, Hãy xem hình dưới đây!
Sau đó chúng ta có thể bắt đầu từ đầu, giả sử rằng bạn đặt gateway / wan tại cổng 1 và localnet / lan tại cổng 2 của router của bạn. Không có vấn đề bao nhiêu localnet mà bạn đã lên kế hoạch, trong trường hợp này tôi chỉ sử dụng 1 localnet. Vì vậy, ở đây nó các quy tắc mà bạn phải chèn là cấu hình cơ bản của router của bạn!
/ interface ethernet
set [tìm tên mặc định = ether1] name = ether1-internet
set [tìm tên mặc định = ether2] name = ether2-localnet
set [tìm tên mặc định = ether3] name = ether3-slave-local
set [tìm tên mặc định = ether4] name = ether4-slave-local
set [tìm tên mặc định = ether5] name = ether5-slave-local
/ địa chỉ ip
thêm địa chỉ = 192.168.1.2 / 24 interface = ether1-internet network = 192.168.1.0
thêm địa chỉ = 192.168.88.1 / 24 giao diện = ether2-localnet mạng = 192.168.88.0
/ ip dns
thiết lập cho phép từ xa-yêu cầu = có máy chủ = 8.8.8.8.8.8.4.4
/ ip route
thêm khoảng cách = 1 gateway = 192.168.1.1
/ ip pool
thêm tên = dhcp_pool1 phạm vi = 192.168.88.2-192.168.88.254
/ ip dhcp-server
thêm địa chỉ-pool = dhcp_pool1 bị vô hiệu hóa = no interface = ether2-localnet name = dhcp1
/ ip dhcp-server mạng
thêm địa chỉ = 192.168.88.0 / 24 dns-server = 8.8.8.8.8.8.4.4 gateway = 192.168.88.1
/ ip tường lửa nat
add action = chuỗi giả mạo = srcnat out-interface = ether1-internet src-address = 192.168.88.0 / 24 bị vô hiệu hóa = no comment = "ether2-localnet"
/ hệ thống ntp khách hàng
thiết lập cho phép d = có primary-ntp = 203.89.31.13 phụ-ntp = 82.200.209.236
Tôi nghĩ rằng không cần giải thích về nó, nhưng yeah ... chỉ nhắc nhở. Có lẽ Nếu bạn có hai localnet, chỉ cần cung cấp cho tên của giao diện, thêm địa chỉ IP cho mạng, thêm cấu hình máy chủ dhcp và giả mạo cho mạng đó. Nếu kết nối internet vẫn không khả dụng, hãy khởi động lại bộ định tuyến của bạn và bạn có thể truy cập lại bộ định tuyến của mình từ IP nội bộ gateway. Cho đến bước này, hãy chắc chắn rằng bạn có thể truy cập internet từ localnet!
3. Các quy tắc lọc của Fasttrack Firewall cho việc ưu tiên các gói kết nối điển hình
Quy tắc tính năng mới trong bộ lọc tường lửa bộ định tuyến mà bạn có thể thiết lập tùy theo nhu cầu của mình.Nó sẽ Fasttracked gói bỏ qua tường lửa của điển hình kết nối gói mà bạn dự định. Ok, tôi đưa ra ví dụ về các quy tắc trên router.
/ ip tường lửa lọc
thêm hành động = fasttrack-kết nối chuỗi = chuyển tiếp kết nối nhà nước = thành lập, liên quan đến vô hiệu hóa = yes dst-address = xxx.xxx.xxx.xxx dst-port = 5060,5061 giao thức = udp bình luận = "Bypass Voip UDP SIP "
add action = fasttrack-connection chain = chuyển tiếp trạng thái kết nối = được thiết lập, liên quan dst-address = xxx.xxx.xxx.xxx dst-port = 10000-20000 giao thức = udp nhận xét =" Bỏ qua Voip UDP RTP "
thêm hành động = fasttrack-connection chain = chuyển tiếp trạng thái kết nối = được thiết lập, có liên quan bị vô hiệu hóa = yes dst-address = xxx.xxx.xxx.xxx dst-port = 4569,5036 giao thức = udp nhận xét = "Bỏ qua Voip UDP IAX"
thêm hành động = fasttrack- chuỗi kết nối = chuyển tiếp trạng thái kết nối = được thiết lập, có liên quan bị vô hiệu hóa = yes dst-address = xxx.xxx.xxx.xxx dst-port = 5060,5061 giao thức = tcp nhận xét = "Bỏ qua Voip TCP SIP"
Các quy tắc trên là cách bạn có thể nhanh chóng hoặc bỏ qua gói kết nối Voip. Những điều quan trọng ở đây là, bạn phải biết số cổng, loại giao thức và IP của Máy chủ Voip mà bạn sử dụng. Vui lòng liên hệ với dịch vụ máy chủ Voip, nếu bạn không biết về nó!
Ví dụ khác, ở đây là làm thế nào để fasttrack Lostsaga trò chơi trực tuyến. Dù các công cụ mà bạn sử dụng để lấy số cổng được sử dụng bởi máy chủ trò chơi Lostsaga, hãy kiểm tra chéo số cổng đã được sử dụng! Tôi đã bắt được máy chủ kết nối cổng bị mất.
/ ip tường lửa lọc thêm hành động = fasttrack-kết nối chuỗi = chuyển tiếp kết nối nhà nước = thành lập, liên quan dst-port = 14009,14010,14017,14019,14024,14025,14042,14113,14120 giao thức = udp bình luận = "UDP PORT LOSTSAGA Tôi "
thêm action = fasttrack-connection chain = forward connection-state = được thiết lập, liên quan dst-port = 14245,14263,15494,21530,22317,22561,26019,30146,32629,45693 protocol = udp bình luận =" UDP PORT LOSTSAGA II "
thêm action = fasttrack-connection chain = forward connection-state = được thiết lập, liên quan dst-port = 9000,14009,14010,61031,61034,61035,61037,61046,61047,61048,61049,61051,61058 giao thức = tcp bình luận = "TCP PORT LOSTSAGA"
Vẫn còn trên các quy tắc lọc tường lửa, hãy hoàn thành các quy tắc bộ định tuyến của chúng tôi với tính năng Bảo vệ bộ định tuyến và Bảo vệ khách hàng để tránh điều gì đó mà chúng tôi không muốn! Để được giải thích thêm, vui lòng truy cập wiki.mikrotik.com.
/ ip firewall filter
add action = drop chain = input comment = "Thả kết nối không hợp lệ" connection-state = invalid
add action = accept chain = input comment = "Cho phép kết nối thành lập" connection-state = thành lập
add action = accept chain = input comment = "Cho phép ICMP" giao thức = icmp
thêm action = accept chain = input in-interface =! Ether1-internet src-address = 192.168.88.0 / 24
thêm action = drop chain = input comment = "Thả mọi thứ khác"
add action = drop chain = forward comment = "thả các kết nối không hợp lệ" connection-state = invalid protocol = tcp
Thêm action = accept chain = forward comment = "cho phép các kết nối đã được thiết lập" connection-state = thành lập
add action = accept chain = forward comment = "cho phép liên quan các kết nối "connection-state = related
add action = chuỗi thả = forward src-address = 0.0.0.0 / 8
add action = drop chain = forward dst-address = 0.0.0.0 / 8
add action = drop chain = forward src-address = 127.0.0.0/8
thêm action = drop chain = forward dst-address = 127.0.0.0 / 8
thêm action = drop chain = forward src-address = 224.0.0.0 / 3
thêm hành động = drop chain = forward dst-address = 224.0.0.0 / 3
thêm action = jump chain = forward jump-target = giao thức tcp = tcp
add action = jump chain = forward jump-target = giao thức udp = udp
add action = jump chain = forward jump-target = giao thức icmp = icmp
thêm action = drop chain = tcp comment = "từ chối TFTP" dst-port = 69 giao thức = tcp
thêm action = drop chain = tcp comment = "từ chối RPC portmapper" dst-port = 111 protocol = tcp
thêm hành động = chuỗi thả = tcp nhận xét = "từ chối RPC portmapper" dst-port = 135 giao thức = tcp
thêm hành động = chuỗi thả = tcp bình luận = "từ chối NBT" dst-port = 137-139 giao thức = tcp
thêm hành động = chuỗi thả = tcp nhận xét = "từ chối cif" dst-port = 445 giao thức = tcp
thêm hành động = chuỗi thả = tcp nhận xét = "từ chối NFS" dst-port = 2049 giao thức = tcp
thêm action = drop chain = tcp comment = "deny Giao thức NetBus "dst-port = 12345-12346 = tcp
thêm hành động = chuỗi thả = tcp nhận xét =" từ chối NetBus "dst-port = 20034 giao thức = tcp
thêm action = drop chain = tcp comment =" deny BackOriffice "dst-port = Giao thức 3133 = tcp
thêm hành động = chuỗi thả = tcp nhận xét = "từ chối DHCP" dst-port = 67-68 giao thức = tcp
thêm hành động = drop chain = udp comment = "từ chối TFTP" dst-port = 69 giao thức = udp
thêm hành động = chuỗi thả = udp nhận xét = "từ chối PRC portmapper" dst-port = 111 giao thức = udp
thêm action = drop chain = udp comment = "từ chối PRC portmapper" dst-port = 135 giao thức = udp
thêm hành động = chuỗi thả = udp bình luận = "từ chối NBT" dst-port = 137-139 giao thức = udp
thêm hành động = chuỗi thả = udp bình luận = "từ chối NFS" dst -port = 2049 protocol = udp
thêm action = drop chain = udp comment = "từ chối BackOriffice" dst-port = 3133 protocol = udp
thêm action = accept chain = icmp comment = "echo reply" icmp-options = 0: 0 protocol = icmp
thêm action = accept chain = icmp comment = "net unreachable" icmp-options = 3: 0 giao thức = icmp
thêm action = accept chain = icmp comment = "host unreachable" icmp-options = Giao thức 3: 1 = icmp
add action = chấp nhận chuỗi = icmp bình luận = "host phân đoạn không thể truy cập được yêu cầu" icmp-options = 3: 4 giao thức = icmp
thêm action = accept chain = icmp bình luận = "cho phép nguồn quench" icmp-options = 4: 0 protocol = icmp
add action = accept chain = icmp comment = "cho phép yêu cầu echo" icmp-options = 8: 0 giao thức = icmp
thêm action = accept chain = icmp comment = "cho phép thời gian vượt quá" icmp-options = 11: 0 giao thức = icmp
thêm action = accept chain = icmp comment = "cho phép tham số xấu" icmp-options = 12: 0 protocol = icmp
add action = chuỗi thả = nhận xét icmp = "từ chối tất cả các loại khác"
4. Đánh dấu các gói kết nối Tải lên và tải xuống dựa trên kết nối Bytes
Chúng tôi sẽ đánh dấu các gói kết nối để tải lên tổng số và tải xuống như bình thường. Quy tắc này sẽ không có hiệu lực với kết nối nhanh mà chúng tôi vừa tạo ở trên. Sau đó chúng ta tạo các gói kết nối đánh dấu dựa trên kích thước byte của các gói kết nối.
Giả sử rằng khách hàng tải xuống bất kỳ tệp nào có kích thước khác nhau. Chúng tôi không muốn rằng khách hàng tải xuống tệp kích thước lớn dành rất nhiều phụ tùng băng thông mà chúng tôi có. Vì vậy, chúng tôi có kế hoạch rằng các gói ưu tiên kết nối là xuống, và thay đổi tốc độ của nó được hạ xuống. Tất nhiên nó không chỉ cho các tập tin tải về, nó cho tất cả các loại gói kết nối dựa trên kích thước byte. Ok cho phép xem các quy tắc dưới đây!
/ ip tường lửa mangle
thêm hành động = mark-kết nối chuỗi = chuyển tiếp trong giao diện = ether1-internet new-kết nối-mark = dconn-isp bình luận = "ISP DOWNSTEAM"
thêm hành động = mark-gói chuỗi = chuyển tiếp kết nối mark = dconn- isp new-packet-mark = dpkt-isp bình luận = "Gói Tổng số Downsteam"
thêm chuỗi hành động = chuỗi đánh dấu = chuyển tiếp kết nối-byte = 0-1000000 new-packet-mark = dpkt-ánh sáng-isp gói mark = dpkt- isp passthrough = no comment = "Gói nhỏ hơn 1000000"
Thêm chuỗi hành động = mark-packet = chuyển tiếp kết nối-byte = 1000000-3000000 new-packet-mark = dpkt-fair-isp gói-mark = dpkt-isp passthrough = không có bình luận = "Gói 1000001-3000000"
thêm chuỗi hành động = chuỗi đánh dấu = chuyển tiếp kết nối-byte = 3000000-6000000 new-packet-mark = dpkt-trọng lượng-isp packet-mark = dpkt-isp passthrough = no comment = "Gói 3000001- 6000000 "
chuỗi hành động = chuỗi đánh dấu gói = chuyển tiếp kết nối-byte = 6000000-0 new-packet-mark = dpkt-very-isp gói-mark = dpkt-isp passthrough = no comment =" Gói hơn 6000000 "
/ ip tường lửa mangle
thêm action = mark-connection chain = forwar d new-connection-mark = uconn-isp out-giao diện = ether1-internet bình luận = "ISP UPSTEAM"
thêm chuỗi hành động = mark-gói = chuyển tiếp kết nối đánh dấu = uconn-isp new-packet-mark = upkt-isp bình luận = "Gói tổng số Upsteam"
Các quy tắc mangle trên có nghĩa là chúng tôi tách các gói kết nối thành tải xuống và tải lên, sau đó chúng tôi tách các gói tải xuống ít hơn 1M, 1-3M, 3-6M, sau đó 6 triệu.
5. Queue cây với PCQ để quản lý các ưu tiên và giới hạn tốc độ
Giả sử chúng ta có tổng số băng thông 20M, chúng tôi muốn chia sẻ kết nối internet bằng nhau cho tất cả các máy khách sử dụng PCQ cho mỗi gói kích thước byte được tách riêng mà chúng tôi đã xác định trên các quy tắc mangle. Trong trường hợp này tôi sử dụng pcq-download-default, pcq-upload-default. Thay đổi tổng PCQ giới hạn theo ý muốn, hoặc bạn có thể tạo một quy tắc mới cho PCQ, sau đó sử dụng nó trên cây xếp hàng.
/ cây xếp hàng
thêm tối đa giới hạn = 20M tên = Downsteam-ISP gói dấu = dpkt-isp parent = global queue = pcq-download-default
thêm giới hạn-at = 1M max-limit = 20M name = 1.light-isp packet -mark = dpkt-ánh sáng-isp cha mẹ = Downsteam-ISP ưu tiên = 1 hàng đợi = pcq-download-mặc định
thêm giới hạn-at = 1M max-giới hạn = 10M name = 2.fair-isp gói-mark = dpkt-fair-isp parent = Downsteam-ISP priority = 2 queue = pcq-download-mặc định
thêm giới hạn-at = 1M max-limit = 5M name = 3.weight-isp packet-mark = dpkt-weight-isp parent = Ưu tiên Downsteam-ISP = 3 queue = pcq-download-default
thêm giới hạn-at = 1M max-limit = 1M name = 4.very-isp packet-mark = dpkt-very-isp parent = Downsteam-ISP priority = 4 queue = pcq-download-default
add max-limit = 20M name = Upsteam-ISP gói dấu = upkt-isp parent = global queue = pcq-upload-mặc định
Vì vậy, đó là tất cả về cách quản lý băng thông hiệu quả với bộ lọc tường lửa Fasttrack, tôi hy vọng có thể hữu ích và rõ ràng hơn cho phép xem video dưới đây! Vui vẻ khám phá!
