Quy tắc tường lửa Mikrotik FastTrack



Các Hướng dẫn MikroTik an ninhMạng với MikroTik: MTCNA Study Guide bởi Tyler Hart có sẵn trong bìa mềm và Kindle!


Kể từ khi phát hành RouterOS 6.29.1 và giới thiệu tính năng FastTrack mới, có một chút nhầm lẫn về việc làm thế nào để thực hiện các quy tắc FastTrack trong tường lửa.Với các phiên bản sau của RouterOS, tính năng FastTrack đã bắt đầu hoạt động trên nhiều giao diện hơn, bao gồm cả VLAN, vì vậy việc tìm hiểu tính năng này và thực hiện nó là quan trọng hơn nữa. Chúng tôi muốn lưu lượng truy cập được chuyển tiếp trên bộ định tuyến được đánh dấu cho FastTrack trong tường lửa, nhưng chúng tôi vẫn phải Chấp nhận lưu lượng truy cập tương tự đó. Không có cả hai quy tắc này, nó sẽ không hoạt động, và bạn sẽ không gặt hái được những lợi ích về hiệu suất.

Nếu bạn không quen thuộc với quy tắc tường lửa và các khái niệm cơ bản về chuỗi, hãy xem bài viết tường lửa Mikrotik để phá vỡ chúng.

FastTrack đã được hiển thị để giảm mức sử dụng CPU một chút, trong một số trường hợp trên 10% khi lưu lượng giao thông cao. Nó hoạt động trên tiền đề rằng nếu bạn đã kiểm tra một gói trong luồng chống lại tường lửa và cho phép nó, tại sao bạn cần phải kiểm tra tất cả các gói khác trong phần còn lại của luồng? Xét về hiệu quả tổng thể, điều này là rất lớn, đặc biệt nếu bạn có nhiều hơn một vài quy tắc tường lửa để đánh giá lưu lượng truy cập.

Bạn có thể xem quy tắc số 3 trong ảnh chụp màn hình bên dưới:



Quy tắc tường lửa Mikrotik với FastTrack được định cấu hình


Trong IP> menu Cài đặt trong Winbox, bạn cũng có thể thấy một bộ đếm của tất cả các gói đã được đánh dấu cho Fast Track:



Bộ đếm gói tin Mikrotik FastTrack


Dưới đây là các quy tắc tường lửa hiện đang được sử dụng trên một trong các thiết bị SOHO của tôi tận dụng lợi thế của FastTrack:/ ip địa chỉ tường lửa địa chỉ danh sách thêm địa chỉ = 192.168.0.0 / 16 list = Bogon thêm địa chỉ = 10.0.0.0 / 8 list = Bogon thêm địa chỉ = 172.16.0.0 / 12 list = Bogon thêm địa chỉ = 127.0.0.0 / 8 list = Bogon thêm địa chỉ = 0.0.0.0 / 8 list = Bogon thêm địa chỉ = 169.254.0.0 / 16 list = Bogon / ip bộ lọc tường lửa add chain = input comment = "Chấp nhận thành lập / Related Input" connection-state = thành lập, liên quan add chain = input comment = "Cho phép quản lý đầu vào - 192.168.88.0/24" src-address = 192.168.88.0 / 24 add action = drop chain = input comment = "Thả đầu vào" log-prefix = "Input Drop" thêm action = fasttrack-connection chain = chuyển tiếp nhận xét = \ Trạng thái kết nối "FastTrack Được thành lập / Chuyển tiếp có liên quan" = \ thành lập, liên quan add chain = forward comment = "Chấp nhận thành lập / liên quan tới" \ connection-state = thành lập, liên quan add chain = forward comment = "Cho phép chuyển tiếp LAN / WAN" out-interface = ether1-gateway src-address = 192.168.88.0 / 24 add action = drop chain = forward comment = "Thả Chuyển tiếp Bogon >> Ether1" trong giao diện = ether1-gateway log = yes log-prefix = "Chuyển tiếp Bogon thả" src-address-list = Bogon add action = drop chain = forward comment = "Chuyển tiếp"


Hai quy tắc trên in đậm là nơi cao su đáp ứng đường, và cả hai đều cần thiết để làm cho nó hoạt động. Những quy tắc tương tự này có thể được áp dụng trong môi trường mạng doanh nghiệp và được điều chỉnh cho phù hợp. Tận hưởng hiệu suất tăng cường!