Маркировка исходящего трафика, нужна?

RIP, OSFP, BGP, MPLS/VPLS
Ответить
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

Имеется 2 провайдера и трафик делится, соответственно идёт маркировка трафика.
После маркировки трафика начались проблемы с web proxy на микротике и я просто отключил эти прокси и не стал разбираться в проблеме.
Теперь пришло время разобраться и я нашёл причину - это правило маркировки исходящего трафика. Если оно включено, то процесс web прокси грузит процессор на 40% (Intel Core 2 Duo) и winbox часто глючит и выкидывает. Если правило отключить, то всё нормально.

Код: Выделить всё

0   WAN2
     chain=input action=mark-connection new-connection-mark=WAN2 -> Input passthrough=no in-interface=ether1 log=no log-prefix="" 
1 chain=prerouting action=mark-connection new-connection-mark=WAN2 -> Input passthrough=no in-interface=ether1 log=no log-prefix="" 
2 XI chain=output action=mark-routing new-routing-mark=WAN2 passthrough=no connection-mark=WAN2 -> Input log=no log-prefix="" 
3 chain=prerouting action=mark-routing new-routing-mark=WAN2 passthrough=no in-interface=ether2 connection-mark=WAN2 -> Input log=no log-prefix="" 
4    WAN1
      chain=input action=mark-connection new-connection-mark=WAN1 -> Input passthrough=no in-interface=ether3 log=no log-prefix="" 
5 chain=prerouting action=mark-connection new-connection-mark=WAN1 -> Input passthrough=no in-interface=ether3 log=no log-prefix="" 
6 chain=output action=mark-routing new-routing-mark=WAN1 passthrough=no connection-mark=WAN1 -> Input log=no log-prefix="" 
7 chain=prerouting action=mark-routing new-routing-mark=WAN1 passthrough=no in-interface=ether2 connection-mark=WAN1 -> Input log=no log-prefix=""
Соответственно второй правило и является виновником.
В принципе всё нормально работает и без этого правила и я думаю правильно ли это оставить его выключенным?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

прокси грузит процессор, но при этом нормально работает?
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

В принципе если включить правило из-за которого прокси грузит процессор, то можно сказать да, но люди частенько жалуются, что что-то не прогружается на сайтах или вообще не загружается.
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

Ещё одна непонятность - это после включения web proxy сразу появляются какие-то подключения, хотя переброса трафика я не делал
Вложения
proxy_conn2.png
proxy_conn2.png (30.3 КБ) 8351 просмотр
proxy_conn.png
proxy_conn.png (44.39 КБ) 8351 просмотр
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

подозреваю, что на втором провайдере адрес "белый", а прокси не закрыт от доступа извне, поэтому из Интернета начинают ломиться все, кому не лень, дабы использовать открытый прокси по назначению. закрывайте доступ из Интернета к роутеру. в частности, к DNS и WebProxy
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

Chupaka писал(а):подозреваю, что на втором провайдере адрес "белый", а прокси не закрыт от доступа извне, поэтому из Интернета начинают ломиться все, кому не лень, дабы использовать открытый прокси по назначению. закрывайте доступ из Интернета к роутеру. в частности, к DNS и WebProxy
Вы абсолютно правы во всём.
Адрес белый, и именно из-за этого проблем с маркировкой второго провайдера, где ip серый, проблем нету. В итоге решая одну проблему, почти решилась вторая. Закрыв доступ из вне к днс, загрузка ЦП из-за маркировки пакетов сразу исчезла, но вот как заблокировать доступ к прокси? Возможно ли таким правилом, учитывая что порт прокси 8080, проблем с потерей пакетов не будет?

Код: Выделить всё

/ip firewall action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp
Где ether1 интерфейс с белым Ip.
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

Да, можно и так. В идеале — разрешить доступ к этому порту из LAN, запретить всё остальное. Ну, или in-interface=!ether2
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

А как такое правило выглядит? Единственное что в голову пришло - это поставить данное правило перед запрещающим, где ether2 смотри внутрь сети:

Код: Выделить всё

chain=input action=accept protocol=tcp in-interface=!ether2 src-port=8080 log=no log-prefix="" 
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

Этим правилом вы разрешаете (action=accept) доступ отовсюду, кроме локальной сети. Меняйте action, например
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

Я слабоват в правилах, постараюсь для себя понять, но надеюсь с Вашей помощь)))

Код: Выделить всё

chain=input action=drop protocol=tcp in-interface=!ether2 dst-port=8080 log=yes log-prefix=""
Если по человечески:
Блокировать входящий трафик по протоколу tcp через порт 8080 на все интерфейсы кроме ether2(смотрит в сеть).
Правильно понимаю, что трафик будет ходить туда-обратно если был отправлен с интерфейса ether2? То есть по суди подходящее правило!?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

chain=input - значит, детектируется только трафик, который идёт на сервисы самого роутера (DNS, WebProxy, управление; трафик, который идёт через роутер в Интернет и обратно, сюда не попадёт)

in-interface=!ether2 - трафик, который пришёл с любого другого интерфейса, кроме ether2

да, правило корректное
6apakyda
Сообщения: 23
Зарегистрирован: 07 июл 2016, 17:19

Re: Маркировка исходящего трафика, нужна?

Сообщение 6apakyda »

Вроде всё отлично заработало. Спасибо большое за помощь. Только я одного не понял, нужна маркировка исходящего трафика, может это не критично, но могут появляться проблемы?))
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маркировка исходящего трафика, нужна?

Сообщение Chupaka »

нужна для доступа к роутеру из Интернета. например, для использования таких вот незакрытых проксей :D
ну или просто для управления роутером
Ответить