Optimalizace Mikrotiku

petrs_

Zdravím,

měl bych pár dotazů ohledně zatížení Mikrotiku:

1) Když potřebujeme mít z určitého rozsahu např. 192.168.1.0/24 povolené jen určité adresy -> je lepší zadat všechny do firewall filter a z toho některé povolit a zbytek zakázat? A nebo udělat jen jedno firewall pravidlo, které bude využívat Adress List, kde budou napsané všechny povolené adresy a zbytek dalším firewall pravidlem zakázat? Respektive, který způsob bude pro CPU méně zatěžující?

2) Jakým způsobem nejlépe zabránit určitým stránkám - například webové hry, facebook apod. Zkoušeli jsme to ve Firewall Filter položkou Content, nicméně to bude asi hodně procesorově náročné. Tuším, že zakázat jen určité IP v tomto případě nebude fungovat. Jak byste to řešili vy? Co na tom rozjet proxy?

Díky moc.

ludvik

1. adress-list je vždy optimálnější (a to dost výrazně, samozřejmě se stoupajícím počtem adres, kdy jeho náročnost vlastně neroste)

2. nefiltrovat. Boj s větrnými mlýny vždy prohraješ. Volba proxy záleží na prostředí. Ve firemním bych se jí zase tolik nebál. Ale z věčného psaní pravidel se admin zblázní.

petrs_

2. je to ve firemním prostředí a klient si to žádá. Zatím to řeší přes to content, ale je to na RB2011 - hodí tam pár pravidel a cpu se v tom upeče. jak funguje proxy na mikrotiku, ještě jsem ji na tom nedělal? dalo by se to filtrování přes ni takhle vyřešit, aniž by se procesor vypařil? Nebo jediná možnost bude pořídit lepší železo?

ludvik

Proxy jsem dělal naposledy v roce 1999 a byl to Squid na linuxu. Na mikrotiku jsem tu potřebu ještě neměl.

Kdo ví, jak to bude výkonově. Veškeré http/https zpracovává ona a vrací klientovi. Ale zase můžeš filtrovat i dle URL (ale opět - nevím jak na MK).

ludvik

Ale pokud je to firemní síť a všichni používají tvůj DNS server - tak ty domény zablokuj pomocí falešného záznamu tam.

Případně pokud je to Win síť s AD, tak tam to určitě jde také (alespoň pro IE). Ale v tom už dost tápu.

petrs_

No, zablokovat ty domény by se daly v DNS, ale mám pocit, že jsem si s tím kdysi hrál a nefungovalo mi to. Respektive povedlo se zablokovat url v http, ale https ne. AD mají, ale routing dělá ten Mikrotik.

ludvik

Pomocí AD lze ty počítače ovládat. Určitě i jejich firewally. A zcela určitě i nastavení Internet Exploreru.

Vrátí-li firemní DNS pro doménu např. www.facebook.com adresu 127.0.0.1 (nebo klidně nějaký interní server, který na to zareaguje chybovou hláškou, ať nejsou lidi zmatení), tak se člověk z toho počítače prostě na facebook nedostane. Ale logicky se dostane na m.facebook.com, to je jiná doména. Nevím jak je na tom mikrotik s hvězdičkovou konvencí.

Může se na takový server dostat pomocí IP adresy, zná-li jí. Ale to v dnešní době zase tak použitelné není a asi tuto možnost můžeme pominout.

Samozřejmě to předpokládá, že ty počítače nemají možnost použít jiný DNS server.

mazzalo

Zákaz sociálních sítí+pár dalších jsem ve firemním prostředí řešil přes L7. jako GW je tam RB750 linka 30mb/s a zatím stíhá bez problémů

Můj zápis:

/ip firewall layer7-protocol

/ip firewall filter

add action=reject chain=forward comment="Blok socialnich siti" \

layer7-protocol=blok out-interface=eth1-wan reject-with=icmp-admin-prohibited src-address-list=\

PC_zamestnanci

petrs_

Zákaz sociálních sítí+pár dalších jsem ve firemním prostředí řešil přes L7. jako GW je tam RB750 linka 30mb/s a zatím stíhá bez problémů

Můj zápis:

/ip firewall layer7-protocol

add name=blok regexp="^.+(facebook|twitter|youtube|seznam|atlas|novinky|aukro).*\$"

/ip firewall filter

add action=reject chain=forward comment="Blok socialnich siti" \

layer7-protocol=blok out-interface=eth1-wan reject-with=icmp-admin-prohibited src-address-list=\

PC_zamestnanci

Díky. Kolik to má ve špičce zátěž cpu? Jaký je rozdíl v tom, když se to udělá přes layer7-protocol a tou položkou Content?

Firewall Filter

Chain : Forward

Protocol : TCP

Port : 80,443

Content : Facebook

Action : Drop

mazzalo

týdenní graf

<--- ia0 -->Snímek obrazovky 2016-01-23 v 10.53.15.png<--- ia0 -->

Přiznám se, že rozdíl mezi L7 a Content nevím. Resp. L7 by měl hledat výraz přímo v paketu ale jak to dělá content...

ludvik

on především regexp bude náročnější, než obyčejné hledání stringu. Ale zase neprohledává každý paket, ale jen prvních deset. Ve výsledku to bude asi tak trochu jedno.