پیاده سازی منگل Mangle برای Queue در میکروتیک

در این سناریو قصد دارم یک Queue برای میکروتیک ایجاد کنیم ابتدا با منگل باید پکیت ها و کانکشن ها رو برای دانلود و آپلود علامت گذاری کنیم و بعد روی Queue میکروتیک پیاده سازی کنیم من رول های پیش فرض خودمو قرار دادم شما بسته به نیازتون میتونید اونها رو تغییر بدید 

 

 

 

دستورات کامل برای رول‌های Mangle

 

/ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=LAN-Upload-Connections in-interface=ether2-lan
add chain=prerouting action=mark-packet new-packet-mark=LAN-Upload-Packets connection-mark=LAN-Upload-Connections
add chain=forward action=mark-connection new-connection-mark=LAN-Download-Connections out-interface=ether1-wan
add chain=forward action=mark-packet new-packet-mark=LAN-Download-Packet connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-Web-Download-Packets protocol=tcp dst-port=80,443 connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-ICMP-Download-Packets protocol=icmp connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-SIP-Download-Packets protocol=udp dst-port=5060 connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-RTP-Download-Packets protocol=udp dst-port=10000-20000 connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-Other-Download-Packets connection-mark=LAN-Download-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-Web-Upload-Packets protocol=tcp src-port=80,443 connection-mark=LAN-Upload-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-ICMP-Upload-Packets protocol=icmp connection-mark=LAN-Upload-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-SIP-Upload-Packets protocol=udp src-port=5060 connection-mark=LAN-Upload-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-RTP-Upload-Packets protocol=udp src-port=10000-20000 connection-mark=LAN-Upload-Connections
add chain=forward action=mark-packet new-packet-mark=LAN-Other-Upload-Packets connection-mark=LAN-Upload-Connections

توضیحات:

• add: برای اضافه کردن یک رول جدید استفاده می‌ شود

• chain: زنجیره‌ای که رول در آن قرار می‌ گیرد

  • prerouting: قبل از تصمیم‌گیری برای مسیریابی (routing)

  • forward: برای بسته‌هایی که از یک اینترفیس وارد و از اینترفیس دیگری خارج می‌ شوند

• action: عملی که باید روی بسته‌ها انجام شود

  • mark-connection: برای علامت‌گذاری (mark) یک اتصال جدید

  • mark-packet: برای علامت‌گذاری بسته‌هایی که مربوط به یک اتصال علامت‌گذاری شده هستند

• new-connection-mark: نامی که برای علامت‌گذاری اتصال انتخاب می‌ شود

• new-packet-mark: نامی که برای علامت‌گذاری بسته انتخاب می‌ شود

• in-interface: اینترفیسی که بسته از آن وارد می‌ شود

• out-interface: اینترفیسی که بسته از آن خارج می‌ شود

• protocol: نوع پروتکل (مثل tcp, udp, icmp)

• dst-port: پورت مقصد (برای ترافیک دانلود)

• src-port: پورت مبدأ (برای ترافیک آپلود)

• connection-mark: استفاده از نام اتصال علامت‌ گذاری شده برای اعمال رول روی بسته‌ های مربوط به آن اتصال

دستورات برای Queue 

 

تمام رول‌های MikroTik که در تصویر نشان داده شده‌اند، به طور کامل در این فهرست آورده شده‌اند. با استفاده از این دستورات، می‌توانید این رول‌ها را در میکروتیک خود پیاده‌سازی کنید.

 

دستورات کامل برای رول‌های Queue Tree

 

/queue tree
add name="All BW" parent=global limit-at=0B max-limit=4M
add name="Download" parent="All BW" packet-mark=DL_Packets limit-at=0B max-limit=2M
add name="DL_ICMP_Packets" parent=Download packet-mark=DL_ICMP_Packets limit-at=0B max-limit=512k
add name="DL_Other_Packets" parent=Download packet-mark=DL_Other_Packets limit-at=0B max-limit=1M
add name="DL_RTP_Packets" parent=Download packet-mark=DL_RTP_Packets limit-at=0B max-limit=640k
add name="DL_SIP_Packets" parent=Download packet-mark=DL_SIP_Packets limit-at=0B max-limit=640k
add name="DL_WEB_Packets" parent=Download packet-mark=DL_WEB_Packets limit-at=0B max-limit=1M
add name="Upload" parent="All BW" packet-mark=UP_Packets limit-at=0B max-limit=2M
add name="UP_ICMP_Packets" parent=Upload packet-mark=UP_ICMP_Packets limit-at=0B max-limit=512k
add name="UP_Other_Packets" parent=Upload packet-mark=UP_Other_Packets limit-at=0B max-limit=1M
add name="UP_RTP_Packets" parent=Upload packet-mark=UP_RTP_Packets limit-at=0B max-limit=640k
add name="UP_SIP_Packets" parent=Upload packet-mark=UP_SIP_Packets limit-at=0B max-limit=640k
add name="UP_WEB_Packets" parent=Upload packet-mark=UP_WEB_Packets limit-at=0B max-limit=1M

توضیحات:

• add: برای اضافه کردن یک صف (queue) جدید

• name: نامی که برای صف انتخاب می‌ شود

• parent: صف بالادستی که این صف زیرمجموعه آن است

• packet-mark: نام علامت‌گذاری بسته‌ها که در فایروال Mangle تعریف شده‌اند

• limit-at: حداقل پهنای باند تضمین شده. در این مثال، 0B به معنی عدم تضمین است

• max-limit: حداکثر پهنای باند مجاز

 

 

 

دستورات امن سازی روتر میکروتیک

برای امن سازی روتر میکروتیک هم در شبکه داخلی و هم در اینترنت یک مجموعه از بهترین و کاربردی ترین دستورات رو نوشتم و کافیه در ترمینال روتر کپی کنی و اینتر رو بزنی 

 

 

جلوگیری از حملات TCP SYN در میکروتیک

TCP SYN در هنگام اتصال کانکشن tcp رخ می دهد تا ارتباط با مقصد برقرار گردد و پاسخ آن Ack خواهد بود می تواند تهدیدی در شبکه میکروتیک باشد و در نتیجه پردازش روتر بالا خواهد رفت برای جلوگیری از آن :

 

جلوگیری از حملات DDOS در روتر میکروتیک

برای جلوگیری از حملات icmp بخصوص DDOS می توان از فایروال میکروتیک استفاده کرد برای این منظور :

 

فایروال در میکروتیک ( Connection Tracking ) و پورت knocking

نگهداری از درگاه های ورودی روتر میکروتیک یکی از الزاماتی است که مدیران شبکه باید رعایت کنند مباحثی همچون سامانه های داخلی که قصد دارید از بیرون شبکه به آن وصل شوید و یا ریموت هایی نظیر V+P+N بزنید :

 

اتصال بین تو سازمان با ip استاتیک در میکروتیک

بسیار اتفاق می افتد که بخواهیم شعب سازمان ها و شرکت ها را از راه دور به هم متصل کنیم در این آموزش یک IP استاتیک داریم و دو طرف شبکه هم اینترنت با یک IP استاتیک و طرف دیگر بدون این نوع آیپی است برای ارتباط این شبکه ها :

 

CAPsMAN در میکروتیک در لایه 2 و 3

برای مدیریت وای فای ها در میکروتیک ابزاری به نام CAPsMAN وجود دارد که می توان هم در لایه 2 برای شبکه با آدرس های مشابه هم در لایه 3 برای شبکه با سابنت ها مختلف استفاده شود برای این منظور :

 

DNS در میکروتیک با DNS Transparent

هنگامی که در شبکه DNS سرور به اشتباه تنظیم شود Nslookup هم اطلاعات درستی نشان نمی دهد اگر میکروتیک را برای DNS قرار دهید می توانید از راه حل زیر استفاده کنید :

 

کنترل ترافیک در میکروتیک با مک آدرس

در میکروتیک می توان با مک آدرس هم ترافیک را کنترل کرد اگر کاربران کمی دارید می توانید از این روش استفاده کنید :

 

رفع اتصال pppoe در میکروتیک با ip شبکه مختلف

اگر در شبکه رنج هایی مختلف دارید و pppoe هم روتر میکروتیک اتصال زده اید ممکن است اتصال pppoe کلاینت رنج های غیر مشابه را باز نکند مثلاً رنج ها به صورت کلاس C هستند :

 

4.0

3.0

2.0