Mangle jump

tulo · 2020-04-07T08:20:51+00:00

Chcem sa opýtať, či niekto bežne používate na mangle jump. Ide o to, že mám hlavný router a pre každého zákazníka robím mangle, to je cez 3000 pravidiel. Gen...

pgb

passtrough dělá přesně to co to znamená, omangluje a pak dělá passtrough ... tj jde dál ! To je věc co přece nechceš. Proto ti radily dát na konec větve accept, aby to nešlo dál. Na L7 filtry se vykašli. Při špatné konfiguraci to zabije cokoliv a při správné skoro cokoliv. Záleží na toku.

hapi

proč bych měl každou větev ukončit acceptem? Jakmile paket dojde na konci větve tak se z mangle vyhodí a už se v mangle netestuje. Je zbytečný dělat accept. Pokud by se měl vrátit do větve která ho do aktuální poslala muselo by tam mít pravidlo s return. Takže accept na konci větve je na nic. Jediný co by tam bylo vhodný je použít tam globální mark aby to označilo "cizí" provoz ktarý pak můžu říznout třeba na 500kbps.

ludvik

hapi Samozřejmě nemáš pravdu. Pokud v tom chainu není ukončení, je výchozí stav RETURN. Tedy návrat do volajícího chainu.

pgb

nevím, mi ten accept přišel jako blbost, když nenajde shodu tak prostě neomangluje, ale hádej se s někým

hapi

v mikrotiku výchozí stav return není.

ludvik

Ten obrázek má dokazovat CO PŘESNĚ? Že po ACCEPT nenásleduje RETURN? Ano, to je správně ...

hapi

aha, moje chyba

pgb

🙂 jsem sekluci pobavil, jsem totiž neuvažoval o tom, že v dané větvi nenajde shodu 😃 ... pokud nenajde tak samozřejmě pokračuje do dalších větví, pokud některé další vyhovuje podle kritérií 🙂

ludvik

On klidně najít shodu může ... ale bavíme se o mangle. Tedy o úpravě vlastností paketů, či jejich obrazu v netfilteru. V tomto případě předpokládám target MARK. A to není ukončovací target! Takže si zpracování naprosto v klidu projde celou poslední větev ("list"), následně vyskočí a pokračuje ve zpracování ostatních větví - samozřejmě, pokud tam nebude chyba, tak se do "listů" už nedostane, ale ty odskoky si prostě projde.

Proto se mluví o tom ukončit to ACCEPTem.

Mikrotik to řeší vlastností passthrough. Což je to samé! Pokud to není povolené, je pravidlo duplikováno s targetem ACCEPT. Pak to už opravdu z tabulky vyskočí ihned.

crazyape

ludvik
Takže pokud je passthrough vypnuté tak accepty není třeba ne?
Jinak pro ty co neví je dobré si na konci všech manglů uplne dole udelat jeste mangle s jménem např "provoz mimo mangle" např a hodit tam celý /16 nebo /8 co clovek pouziva a zaskrtnout LOG. Tim víte ze Vám neuníka něco bokem 🙂 ..

ludvik

Pokud mám poslední část jako /29, tak to je 8 IP adres. Tedy v pojetí mikrotiku bez passthrough to je teoretických 16 pravidel. Řešení s ACCEPT na konci je maximálně 9 ... a přijde mi to přehlednější. Např. v situaci, kdy bych tam chtěl dělat i jiné věci - nastavit DSCP, MSS, a tak. A nemusím zkoumat nějaký divný příznak, který winbox ani v defaultu neukazuje.

pgb

ludvik ono těch pravidel které mk skrytě zadává je hromada. Třeba changemss taky dává sám interně leckde - někde to psali v changelogu a ve firewallu vidět nejsou 🙁

tulo

Včera sa konečne dorobilo generovanie do lms, rozdelenie na stromček na UPLOAD-DOWNLOAD-LAN_PODSIET-KONKRETNY CLOVEK, tak ako som písal vyššie. Zaťaženie cpu kleslo na 8-12% z povodnych až vyše 65 v špičke

pgb

Super výsledek. Když se ti podaří přejít na nft map tak to ještě klesne

« Předchozí stránka