Описание принципа работы Mikrotika и т.е. прохождения пакетов в нем.
Зайдите в IP - Firewall.
Там есть 3 вкладки Filter, NAT и Mangle.
В Filter и Mangle есть все 3 цепочки - Prerouting, Forward и Postrouting, это трафик (пакеты) который проходят через маршрутизатор (шлюз) т.е. от клиента в интернет или в локальную сеть и обратно к клиенту
и 2 цепочки Input, Output - это трафик от и к маршрутизатору (шлюзу) т.е. запрошенный и полученный самим шлюзом, а не клиентами (что в итоге особо не используются)
Filter - разрешает-запрещает пакеты, совпадающие по условию записи в Filter.
NAT - это чаще всего правило SrcNat-Masquerade - чтоб люди могли ходить в интернет.
И DstNat-DstNat - чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.
Mangle - продвинутый маркировщик пакетов.
Очередность работы:
1. Mangle Prerouting, Nat Prerouting - правила в этих 2 цепочках самые первые обрабатывают пакет. Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
2. Далее срабатывает Firewall - NAT.
Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.
или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета).
3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.
Тут уже можно фильтровать клиентов вашей сети.
4. Далее снова срабатывает NAT.
Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT. По этим записям будет происходить обратная замена IP, когда придут ответные пакеты. И для исходящих пакетов происходит подмена локального IP к примеру локальный 192.168.0.2 на внешний IP Микротика 80.80.80.1.
5. И последний этап - Mangle Postrouting, Nat Postrouting.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
Далее все это направляется в шейпер. Queue Tree и Simple Queue.
6. Первым выполняется Queue Tree – здесь создаются очереди, из ходя из правил про маркированных пакетов в Mangle, и можно контролировать очереди, т.е. создавать очередность из приоритетов по типу трафика. Так же можно ограничивать скорость как по приоритету трафика так и конкретного клиента.
7. и наконец, после создания очередности пакетов (трафика), они попадают в Simple Queue. Тут можно ограничивать конкретного клиента (пользователя), устанавливая максимальную скорость, или выставлять без лимит и тд.
1. технарь - 15 апреля 2013 — 00:31 - перейти к сообщению
2. технарь - 21 апреля 2013 — 14:59 - перейти к сообщению
Вот ссылка на мануал для понимания происходящегго в шейпере и файрволе
3. технарь - 21 апреля 2013 — 16:15 - перейти к сообщению
А вот на досуге почитать - руководство по Iptables