[研究所] MikroTik RouterOS 學習 (持續更新) (第105頁)

gfx
個人積分：1603分
文章編號：46837955

1603分

1041樓

2013-10-24 19:55

想請教Port Mapping(虛擬伺服器)安全性的問題.

我的NAS裡有試用Transmission ,它類似Download Station的功能.

因為作用是傳檔,
所以要在ROS Firewall設定NAT將TCP/UDP Port:51515對應到NAS.

設定完NAT後Transmission是可以順利下載的,但問題不在下載過程.
而是下載結束後仍有IP不斷的透過UDP Port:51515連進來,看到Packets數不斷的增加..
這讓我很擔心是不是有安全上的疑慮

雖然也可以進winbox手動將這條NAT命令暫時關閉,但我覺得這不是辦法.
請問有沒有方式增加安全性,或者透過類似分享器Port Trigger方式觸發,當連線時才啟動.

求助了各位,在此先謝謝您!

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：46838962

79分

1042樓

2013-10-24 20:55

你跑 torrent client，就算是 client 關了後還一直會有封包跑進來，這是很正常的。但就算是你能 trigger 在不用時把他關了，但你在用 transmission 時還是一堆往你 NAS 跑，那這在安全考量上有什麼不一樣?應該也要緊張才對。

所以我一直是覺得 NAS 別與 bittorent client 放一起。download location 存放在 NAS 沒啥問題，但 client 與 NAS 在一起就 potentially 有危險了。

我記得之前在研究 FreeNAS 還是 linux router 時，其中一個的官網就有提到此安全性的考量，所以 distro 內不會考慮內建 torrent client。

但現在市面上的 NAS 好像大多都有內建了。。。我想這是在安全與方便與多一台的成本上取平衡吧。

YA2010

YA2010
個人積分：50分
文章編號：46840057

50分

1043樓

2013-10-24 21:49

chrisintaipei wrote:
抓了幾張圖給你參考下...(恕刪)

感謝Chris大指點, 看了你的說明基本上已經有 Queue tree邏輯架構和方向 ,

但實在是沒有基礎需要花一段時間消化和摸索,否則一直上來發問只是浪費版面,

不過真的遇到問題卡住就再麻煩您解惑了!! ...

derliang

derliang
個人積分：1143分
文章編號：46844199

1143分

1044樓

2013-10-25 1:31

chrisintaipei wrote:
有關 ack 怎抓，...(恕刪)

C大：感謝您的提點，我大概知道如何做了。
想再請教以下的問題：
1.ack的標示是否也應該先mark connection然後再mark packet？
2.ack優先的目的為何？
3.小弟的網路是FTTH的100M/40M，這樣ack的頻寬應該最少保留多少，最多可用多少？
4.另外在網路上看到有人也標示syn，不知道c大是否知道標示syn的目的？

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

chemyuan

chemyuan
個人積分：29分
文章編號：46845752

29分

1045樓

2013-10-25 8:14

改用IPV6後
GOOGLE 地球就是一片黑了
改回IPV4後就正常了
有解嗎?
謝謝

單車全記錄................................... http://blog.xuite.net/chemyuan/bike

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：46857526

79分

1046樓

2013-10-25 17:32

derliang wrote:
1.ack的標示是否也應該先mark connection然後再mark packet？

不用 mark connection. 我的設定中完全都沒用到 connection mark.

derliang wrote:
2.ack優先的目的為何？

在以前網路較慢時，比如說 3M/512k，上傳若被 BT 或其他的吃滿滿時，那你下載會跑不到 3M。這是因為 ack packet 被卡著。所以若讓 ack 優先，那你下載較不會受影響。ack = acknowledge. 對方請你 acknowledge 但你回應被卡著，那對方就不會把東西傳給你 - 應該是這樣的意思。

網路上是有另一種說法，說你若跑 bittorrent，那不應該優先 ack。但這真的蠻怪的，因為 BT 滿載 ack 又沒優先時，網頁開起來明顯是有慢的。

在現在 100M/100M 時代，我自己覺得除了上傳需要優先 ack packet 外，下載也有可能碰到一樣的情形(我是沒深入再去瞭解啦)，所以上下傳我都把 ack 抓出來給他優先。

derliang wrote:
3.小弟的網路是FTTH的100M/40M，這樣ack的頻寬應該最少保留多少，最多可用多少？

我昨晚看下我 100M BT 滿速時，ack 約跑 2.5Mbit ~ 3M。我設定是 5M 之內都優先給他。你自己衡量看看你設多少吧。我是覺得設高點也沒差，反正沒用到的頻寬其他的 queue 還是會拿去用。

derliang wrote:
4.另外在網路上看到有人也標示syn，不知道c大是否知道標示syn的目的？

ack / syn 是一前一後的。我所瞭解的是 syn 不用標(看過的每一個 guide 都不標)。為啥我也沒特別去研究 :P 滾來滾去

我想應該是 syn 是 3M 進來(然後 ack 回去)。但 3M 不卡(因為速度是不對稱的)，所以不用設。但若上下載都滿載，那也許有設的需要?

應該還有不少地方可優化。但這樣就很好用了，就懶的再去研究這些細節。有沒人瞭解能來稍微討論呢

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：46857932

79分

1047樓

2013-10-25 17:56

...........

doubler

doubler
個人積分：37分
文章編號：46866703

37分

1048樓

2013-10-26 10:13

pctine wrote:
Taiwan & C...(恕刪)

我在內地與台灣各自放了台 ROS , 台灣家裡的vpn有設置ok , 電腦手機能正常上 fb 01 ～

想試著自動翻牆實作如下但是不成功～大家幫我看看哪裡錯誤～感恩！

# import TAIWAN IP List
import TaiwanIPList.rsc

# 根據 China IP List 標示封包(由於只用於上網,所以標示 80/TCP 即可)
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark TAIWAN IP" disabled=no \
dst-address-list=TaiwanIPList dst-port=80 new-routing-mark=TaiwanIP \
passthrough=no protocol=tcp

# 建立 pptp-client 連線至 VPN Server
/interface pptp-client
add connect-to=220.134.173xxx.xx disabled=no name=pptp-out2 \
password=xxxxx user=xxxxx

# NAT masquerade (對外的封包做 SNAT)
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-out2

# IP routing to Taiwan
/ip route add gateway=pptp-out2 routing-mark=TaiwanIP check-gateway=ping

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：46868269

79分

1049樓

2013-10-26 12:23

doubler wrote:
# IP routing to Taiwan
/ip route add gateway=pptp-out2 routing-mark=TaiwanIP check-gateway=ping

# IP routing to Taiwan
/ip route add gateway=pptp-out2 routing-mark=TaiwanIP check-gateway=ping dst-address=0.0.0.0/0

不確定有沒其他問題，但確定是有少了這個 dst-address=0.0.0.0/0

gfx

gfx
個人積分：1603分
文章編號：46875726

1603分

1050樓

2013-10-26 22:31

請問ROS將Micro SD格式化後是什樣的格式?
我的RB450G自從升級後v6.3後想要對記憶卡格式化但都失敗,
想說可不可以透過電腦來Format

據我知Fat32似乎不行,難道是Ext2/Ext3/Ext4這類的?