NeverGiveUp!!! wrote:
v6.35.4...(恕刪)
NeverGiveUp!!! wrote:v6.36後的第2道防火牆"Raw"
v6.36...(恕刪)
不像firewall filter ,chain分input/output/forward ,只有output/prerouting
prerouting據經驗不是用在防火牆標記封包用嗎?
實驗後測試也是如此,Raw即先將封包做標記,然後再將標記的內容阻擋掉.
當然您自己透過/ip firwall mangle標記,再將標記到的丟給/ip firewall filter過濾也可以.
不過Raw已經整合了,您不必這麼麻煩.
可能是內部先標記有了範圍,省了封包一個個過濾,阻擋時便省力更省資源.
據國外測試阻檔DoS/DDoS攻擊,相較firewall filter硬是省去了8%的資源.
Mikrotik Firewall Raw Feature Test
但Raw真的比filter棒嗎?
客觀來說因新功能剛上路,未經嚴峻測驗不敢斷定.
但因:
chain=output ,無法像chain=input選擇入口(in-interface).
chain=prerouting ,無法像chin=forward選擇出口(out-interface).
習慣用出/入接口標記封包 的用戶使用上會是個大麻煩,就這樣
感謝告知.看來又有新的玩意要去碰碰囉!確實跟Mangle某部分很相似.節省資源的功能也跟Fasttrack作用雷同.只是個人推測認為MikroTik做到後面是想弄這種功能來減輕自家的硬體負擔.而盡量做到最好及不砸到自己低調招牌之根本.gfx wrote:
v6.36後的第2...(恕刪)
關於Fasttrack.國外論壇有人成功將此指令應用在RB系列使其飆超過500Mbps.
尺就不知了.憑之前逛論壇的印象中應該可以到接近1Gbps(8XXMbps的範圍內).另外大推你這FW的順序是最好的策略.個人是沒參考.只知道順序放正確.才是FW正規的策略.
gfx wrote:
給您一個概念:網路...(恕刪)
Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
NeverGiveUp!!! wrote:
關於Fasttrack.國外論壇有人成功將此指令應用在RB系列使其飆超過500Mbps.
rb450g與rb850gx2不支援fasttrack....早看破了.
後來朋友改換支援的rb3011,fasttrack剛開始使用真的惡夢
因fasttrack有使用到magle標記的關係,會影響路由 與Qos標記 ,造成策略全失效.
索幸fasttrack不用了...
為何設定firewall filter的白名單後,無法連接到Site to Site的對端?
答案是IPSec Site to Site連結時,本地會透過ICMP確認遠端,也就是我們所熟知的Ping.
當遠端防火牆 把從本地送出的ICMP封包給丟棄,本地就收不到ICMP的回應,
於是IPSec Site to Site通道就無法開啟...
但真的需把ICMP完全打開,讓IPSec Site to Site可使用的同時,
也讓陌生遠端可ping到您的Route wan-ip嗎?
答案是不必的,您只要讓遠端針對IPSec使用的ICMP "destination unreachable"開放就好.
這樣不但解決IPSec Site to Site問題,也不會讓陌生人Ping到您的Route.
但其中最大的謎題也是 為何只要開ICMP的"destination unreachable(目標不可達)",
就不影響IPSec Site to Site使用,希望懂的人可解答.
最近6.36板新出的Raw功能 基本上可以參考iptables raw的說明
就可以知道RAW這個功能是拿來做什麼的
簡單來說 RAW是位在prerouting以及output的路由區塊
介於HotSpot in以及connection tracking之間 (output則是Decision與tracking之間)
它的優先層級是Routing中最高的 因此順序是
Raw → Mangle → Filter → NAT
但由於Raw是屬於Kernel層級的管控 因此它能做的事情沒辦法像Mangle或是Filter這麼多
只能從事較為簡單的用途 而且他只能管控封包 不能管控連線
但也因為如此 如果會設定的話 對於降低CPU使用率是一大幫助
(因為它不用再透過Mangle以及Filter做處理 直接在這層就幫你解決了)
Raw的應用主要有兩個方向 一個是讓不需要NAT的連線擁有較大的相容性以及穩定性
這個對於有在架設對外的Webproxy的使用者來說很好用
假設你有一台電腦當作防火牆 同時也有架網頁伺服器 那麼你只要將Port 80這個連線的封包設到Raw
那麼所有Port 80的連線就不用再做後端處理 直接就丟給這台電腦上的Web Server
而另外一個則是做過濾功能 它可以把封包在還沒進入到後端前就先丟棄
這多少可以預防DoS攻擊 避免因DoS攻擊而造成路由器癱瘓
看起來好像很有用處 但對於一般環境而言其實實用性不高
原因在於我們的使用環境有很多都跟NAT有關
像是RAW的其中一個action為no track 這個的意思是讓封包通過 但不再丟給後端去處理
可是LAN與WAN之間都得透過NAT才能互通
一旦設定no track 該規則在LAN與WAN之間有可能就會無法連線
所以RAW還是得針對自己的環境來使用才行 不過對於攻擊預防倒是滿有用處的
內文搜尋
從 APP 打開
X