際際滷

際際滷Share a Scribd company logo

Mikrotik os-zaklady

Download as PPT, PDF
Patrik Majer
Patrik Majer

z叩klady nastaven鱈 Mikrotik OS/mikrotik za鱈zen鱈mi /(routerboard). Pr叩ce ve winbox a CLI (terminal) prosted鱈. D叩le L2,L3 funkce, firewalling, logov叩n鱈, QoS.

Convert to study guideBETA

Transform any presentation into a summarized study guide, highlighting the most important points and key insights.

1 of 72
Downloaded 140 times
Sezn叩men鱈 s Mikrotik RouterOS vod, pipojen鱈, z叩klady konfigurace, routing, QoS
Co budeme potebovat.. Za鱈zen鱈 s RouterOS (Mikrotik, i jin叩 platforma ) Po鱈ta se s鱈泥ovou kartou, pop. s s辿riov箪m portem Utp kabel, i s辿riov箪 kabel Program(utilitu) winbox (pop. telnet, ssh )
Jak se k za鱈zen鱈 pipojit Za鱈zen鱈 je pipojeno k PC p鱈mo, i pes switchovanou ethernet s鱈泥 1, winbox-em - grafick叩 utilita - v鱈ce m坦d哲 pipojen鱈 - bu pes MAC adresu, i IP adresu - pi pipojen鱈 pes MAC adresu nen鱈 poteba m鱈t nastaven辿 ip adresy ani na po鱈tai, ani v za鱈zen鱈 ( je teba m鱈t pouze aktivn鱈 rozhran鱈 )
Pipojen鱈 p鱈mo i krz L2 s鱈泥 pi pipojov叩n鱈 winboxem na mac adresu je bu mo転n辿 proskenovat okol鱈, kde se pot辿 zobraz鱈 dostupn辿 routerOS za鱈zen鱈 Pop. zadat MAC adresu p鱈mo do okna winboxu ( v p鱈pad chyby pi skenov叩n鱈) -skenov叩n鱈 se prov叩d鱈 tla鱈tkem se 3tekami - Skenov叩n鱈 v PC obas blokuj鱈 firewally (v PC i v za鱈zen鱈)
Pipojen鱈 k za鱈zen鱈 Sken winboxem pak vypad叩 n叩sledovn:
Pipojen鱈 k za鱈zen鱈 Po vyskenov叩n鱈 zar鱈zen鱈 je mo転no kliknout bud na mac adresu, i na IP adresu - dle toho se do pole Connect to dopln鱈 p鱈slu邸n箪 炭daj -d叩le se vypln鱈 login, password ( keep password zachovat vyplnn辿 heslo) - Pi pipojov叩n鱈 pes MAC adresu obas nefunguj鱈 nkter辿 funkce ( pesun soubor哲 ), v tomto p鱈pad je teba se pipojovat pes IP adresu
Pipojen鱈 k za鱈zen鱈 Pi pipojov叩n鱈 pes IP adresu sta鱈 zadat IP adresa za鱈zen鱈 (pokud je jich v鱈ce, tak sta鱈 libovoln叩) 2, telnet, ssh - routerOS je mo転n辿 se d叩le pipojit krz klasick箪 telnet, pop. SSH ( i podpora DSA kl鱈哲) - zde jen konzolov辿 rozhran鱈 (stejn叩 hierarchie polo転ek jako ve winboxu)
Za鱈zen鱈 je pipojeno pes L2 / L3 ethernet s鱈泥 Pipojen鱈 pouze pes IP adresu v za鱈zen鱈 mus鱈 b箪t v箪choz鱈 br叩na (default gateway) a spr叩vn nastaven routing (viz. d叩le) - V p鱈pad 邸patn辿 IP konfigurace je mo転n辿 se pipojit mac telnetem pes jednotliv辿 za鱈zen鱈 (dosk叩kat)
Typy za鱈zen鱈 Router-boardy - jedno炭elov辿 Licence pro x86 - klasick箪 pc, server Wrapy, alix
Z叩kladn鱈 prosted鱈 winbox zdarma na www.mikrotik.com horn鱈 邸ed叩 li邸ta add cpu atd winbox :: Syst辿m Identity - popis za鱈zen鱈 winbox :: New Terminal
Probl辿my / Ot叩zky diskuze
Basic setup :: interfaces Winbox :: Interfaces -r哲zn辿 typy internet, wlan, bridge, vlan, tunely Pid叩n鱈 tla鱈tko PLUS (erven辿) Koment叩 転lut辿 tla鱈tko (symbol 邸t鱈tku)
Basic setup :: interfaces
Basic setup :: IP address Winbox :: IP address
Basic setup :: Add IP adress Pid叩n鱈 erven辿 tla鱈tko +
Basic setup :: Add IP adress Pid叩n鱈: Pole address: IP adresa/ maska -maska v podob potu bit哲 255.0.0.0 :: /8 255.255.0.0 :: /16 255.255.255.0 :: 24 255.255.255.248 /29 Pole interface vybrat rozhran鱈 -zbytek pol鱈 nepovinn辿, pop. nevypln鱈 se
Basic setup :: IP adress Winbox :: New terminal Tenet / ssh -> /ip address print
Basic setup :: IP adress :: IPv6 [admin@MikroTik] > ipv6 address print Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local # ADDRESS INTERFACE ADVERTISE 0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no 1 DL fe80::20c:42ff:fe1d:3d2/64 ether1 no 2 DL fe80::20c:42ff:fe1d:3d4/64 ether3 no 3 G fc00:1::1/64 ether1 yes 4 G fc00:2::1/64 ether2 yes
Basic setup :: Default gateway Winbox: IP Routes
Basic setup :: Default gateway Pid叩n鱈 + Pole destination (c鱈l) : 0.0.0.0/0 ( pop. 0/0 ) Pole Gateway ip adresa br叩ny
Basic setup :: DNS servery RouterOS um鱈 jak dnscache, tak dns servery pro dom辿nu 1, nastaven鱈 dns server哲 vy邸邸鱈 炭rovn ( klasick辿 dns servery pro p鱈stup na inet) - Winbox :: ip DNS - V okn DNS - Settings
Basic setup :: DNS servery
Basic setup :: DNS servery 2, DNS cache Okno DNS :: Settings - Za邸krt叩v叩tko Allow remote requests
Basic setup :: LAN Stejn辿 jako pechoz鱈 postupy Lan / wan z hlediska porovn叩n鱈 s klasick箪m broadband router rozli邸uje v nastaven鱈 firewallu / NAT-u (Masquerade) Pokud m叩 b箪t v鱈ce interfac哲 my邸leno jako LAN, mus鱈 se porty pidat do bridge
Basic setup :: Bridges Winbox :: bridge + - name jm辿no bridge -> OK okno bridge z叩lo転ka ports - zde pidat jednotliv辿 rozhran鱈 (interface) do p鱈slu邸n辿ho bridge = rozhran鱈 se pak chovaj鱈 jako klasick箪 switch (L2) Plus se neuplatuje routing / firewall atd.
Setup virtual interfaces Winbox :: interfaces - Jedn鱈m z virtu叩ln鱈ch interfac哲 je bridge - pro p鱈slu邸nost do vlany typ VLAN - bedr叩tov叩 karta Wireless - bridge re転im pro bezdr叩t. Rozrhan鱈 WDS - bonding sluov叩n鱈 interfac哲 (z叩lohy atd) - vrrp pro redundanci dvou a v鱈ce router哲
Setup - VLAN - pid叩n鱈 jako virtu叩ln鱈 interface -d叩le piazen鱈 ke konkr辿tn鱈 vlan
Probl辿my / Ot叩zky diskuze
Setup :: DHCP server winbox :: IP DHCP server - bu pr哲vodce DHCP Setup - pop. run: 1, vytvoen鱈 poolu, rozsahu pidlovan箪ch ip adres :: winbox: IP Pool -name jm辿no, popisek - address rozsah ip adres, ip_rozsah/maska - OK
Setup :: DHCP server
Setup :: DHCP server winbox :: IP DHCP server - pid叩n鱈 vlastn鱈ho serveru -name jm辿no, popis serveru - interface kde m叩 poslouchat (i bridge) - address pool rozsah ip, vytvoen箪 d鱈ve, i static-only (pouze run pid叩n辿 z叩znamy) - alwast broadcast v転dy komunikovat v邸esmeov箪m vys鱈l叩n鱈m - use RADIUS ovov叩n鱈 dat z extern鱈ho zdroje
Setup :: DHCP server
Setup :: DHCP server :: Networks -zde nastaven鱈 v箪choz鱈 br叩ny, dns server哲 atd
Setup :: DHCP server :: Leases
Setup :: DHCP server :: Leases -pro vytvoen鱈 statick辿ho z叩znamy se 2x poklik叩 na dynamick箪 a pot辿 na Make Static
Probl辿my / Ot叩zky diskuze
Setup Firewall V RouterOS je smrov叩n鱈 port哲, firewall atd e邸en podobn jako v linuxu, ili pravidla ve firewallu se podobaj鱈 / odpov鱈daj鱈 linuxov箪m iptables (ipchains) V邸e se e邸鱈 v ip firewall Pr哲chody jednotliv箪mi tabulkami (chains) vych叩zen鱈 z principu fungov叩n鱈 routeru, resp. z pr哲chodu paketu kernel j叩drem
Kernel Packet Traveling Diagram Network ---------+----------- | +--------------------------+ +-------+-------+ +---------+------------+ | IPCHAINS | | IPTABLES | | INPUT | | PREROUTING | +-------+-------+ | +-------+-------+ | | | | conntrack | | | | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | IMQ || | | +-------+-------+ | | | | nat | | <- DEST REWRITE | | +-------+-------+ | DNAT or REDIRECT | +---------+------------+ or DE-MASQUERADE +------------+--------------+ |
Kernel Packet Traveling Diagram | +-------+-------+ | QOS | | INGRESS | +-------+-------+ | packet is for +-------+-------+ packet is for this machine | INPUT | another address +--------------+ ROUTING +--------------+ | | + PDBB | | | +---------------+ |
packet is for this machine | | | +-------+-------+ | IPTABLES | | | INPUT | +-------+-------+ | +-----+-----+ | | IPTABLES | | | mangle | | | OUTPUT | | +-----+-----+ | | | filter || | +-----------+ | | +-----+-----+ | | | conntrack | | +-------+-------+ | +-----+-----+ | | | | mangle | | <- MARK WRITE +-------+-------+ | Local | | +-----+-----+ | | Process | | | nat | | <-DEST REWRITE +-------+-------+ | +-----+-----+ | DNAT or REDIRECT | +-------+-------+ | | filter | | | OUTPUT | | +-----+-----+ | | ROUTING | +-------+-------+ +-------+-------+ | | | |
packet is for another address | | +---------------------------+ | | +-------+---------+ +---------+---------+ | IPCHAINS | | IPTABLES | | FORWARD | | FORWARD | +-------+---------+ +---------+---------+ | | | | | +-----+-----+ | | | | mangle | | <- MARK WRITE | | +-----+-----+ | | | | filter | | | | +-----+-----+ | | +--------+--------+ | | +------------------------------+ |
Kernel Packet Traveling Diagram | | +----------------------+----------------------+ | +-------------+------------+ | | +-------+-------+ +---------+---------+ | IPCHAINS | | IPTABLES | | OUTPUT | | POSTROUTING | +-------+------- | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | nat | | <- SOURCE REWRITE | | +-------+-------+ | SNAT or MASQUERADE | +---------+---------+ +-----------------+----------+ | +------------+-------------+ | QOS EGRESS | +-----------+--------------+ |
Setup z叩klady firewallu Winbox:: Okno firewall 1, (z叩lo転ka) - tabulka filter pro filtrov叩n鱈 paket哲, resp. pro pravidla, kter辿 bud maj鱈 pakety propustit, i odm鱈tnout. D叩le logovat, pid叩vat do seznam哲.
Setup z叩klady firewallu Winbox:: Okno firewall 2, tabulka NAT - pro pravidla, kter叩 maj鱈 pakety pesmrovat jinam (na ip adresu ve vnitn鱈 s鱈ti), - i je zmnit ( ma邸kar叩da, resp. dnat )
Setup z叩klady firewallu Winbox:: Okno firewall 3, tabulka MANGLE - prim叩rn pro oznaov叩n鱈 paket哲 ( markov叩n鱈 ) - pro zmnu TTL, DSCP, markov叩n鱈 spojen鱈
Setup z叩klady firewallu
Setup z叩klady firewallu
Mikrotik os-zaklady
Mikrotik os-zaklady
Setup firewall - NAT
Setup firewall - NAT
Setup firewall - MANGLE
Setup firewall - MANGLE
Setup firewall - MANGLE
Pesmrov叩n鱈 portu zven鱈 na vnitn鱈 IP/port Winbox :: ip firewall tabulka NAT - specifikovat vnj邸鱈 ip adresu, protokol, port pop. rozhran鱈 - c鱈l (action) : dst-nat (mn鱈m c鱈l paketu ) -to addresses: vnitn鱈 adresa ( nap. 192.168.1.100 ), rozsah mus鱈 existovat, i routa k nmu -to ports: pokud je teba zmnit i port
Pesmrov叩n鱈 portu zven鱈 na vnitn鱈 IP/port
Firewall NAT :: Ma邸kar叩da = zamaskov叩n鱈 vnitn鱈 s鱈t za jednu veejnou ip adresu ( z pohledu rozhran鱈 ) - mn鱈me tedy zdrojovou ip adresu nen鱈 p鱈m箪 p鱈stup zpt na lok叩ln鱈 po鱈tae v routerOS (linuxu) se tato funkce nach叩z鱈 ve firewallu -- tabulka NAT -- chain src-nat -- action MASQUERADE ( v linuxu : Iptables tab NAT - .. )
Firewall NAT :: Ma邸kar叩da nastavuje se tedy: - chain v転dy src-nat (modifikujeme zdrojovou ip adresu / po鱈ta ) - src ip adress zdrojov箪 rozsah ip adres, co chceme NATovat. = lok叩ln鱈 ip rozsahy (nemus鱈me v邸echny rozsahy, z叩pis: ip_rozsah / maska) - v箪stupn鱈 interface (WAN), je povinn箪 pi chybj鱈c鱈m src ip rozsahu, ale ud叩v叩 se kv哲li lep邸鱈 itelnosti smyslu NATov叩n鱈 - action masquerade (co se s pakety m叩 dlat)
Firewall NAT :: Ma邸kar叩da
Probl辿my / Ot叩zky diskuze
Logov叩n鱈 winbox :: Syst辿m Logging
Logov叩n鱈 - c鱈le
Logov叩n鱈 - v箪pis
Logov叩n鱈 ve firewallu action LOG ve v邸ech tabulk叩ch
U転ivatel辿 - Pr叩va winbox :: users
U転ivatel辿 Pr叩va - Skupiny
U転ivatel辿 ssh 一鉛鱈艶
鱈zen鱈 rychlosti - QoS - syst辿m qos podobn箪 jako v linuxu - omezov叩n鱈/priorizace v ROS pou転鱈v叩 HTB Postup: 1, vytvoen鱈 oznaovac鱈ho pravidla - ve firewallu, tabulka MANGLE - action set-mark 2, vytvoen鱈 vlastn鱈 t鱈dy (ve queues)
QoS pravidla v MANGLE - stejn箪 syst辿m vytv叩en鱈 pravidel jako v kapitole firewall - tabulka v転dy MANGLE - action v転dy packet-mark - mark bud m哲転e b箪t 鱈slo jako v linuxu, i njak箪 etezec (popis klienta, atd.)
QoS pravidla v MANGLE
QoS pravidla v MANGLE do pole New Packet Mark nap鱈邸eme popis, 鱈m転 mark vytvo鱈me, pop. vybereme ze seznamu ji転 existuj鱈c鱈ch mark tla鱈tkem vpravo OK
QoS vytvoen鱈 t鱈dy winbox :: queues :: vybrat: - marku vytvoenou od minule - rozhran鱈 - limity

More Related Content

Mikrotik os-zaklady

  • 1. Sezn叩men鱈 s Mikrotik RouterOS vod, pipojen鱈, z叩klady konfigurace, routing, QoS
  • 2. Co budeme potebovat.. Za鱈zen鱈 s RouterOS (Mikrotik, i jin叩 platforma ) Po鱈ta se s鱈泥ovou kartou, pop. s s辿riov箪m portem Utp kabel, i s辿riov箪 kabel Program(utilitu) winbox (pop. telnet, ssh )
  • 3. Jak se k za鱈zen鱈 pipojit Za鱈zen鱈 je pipojeno k PC p鱈mo, i pes switchovanou ethernet s鱈泥 1, winbox-em - grafick叩 utilita - v鱈ce m坦d哲 pipojen鱈 - bu pes MAC adresu, i IP adresu - pi pipojen鱈 pes MAC adresu nen鱈 poteba m鱈t nastaven辿 ip adresy ani na po鱈tai, ani v za鱈zen鱈 ( je teba m鱈t pouze aktivn鱈 rozhran鱈 )
  • 4. Pipojen鱈 p鱈mo i krz L2 s鱈泥 pi pipojov叩n鱈 winboxem na mac adresu je bu mo転n辿 proskenovat okol鱈, kde se pot辿 zobraz鱈 dostupn辿 routerOS za鱈zen鱈 Pop. zadat MAC adresu p鱈mo do okna winboxu ( v p鱈pad chyby pi skenov叩n鱈) -skenov叩n鱈 se prov叩d鱈 tla鱈tkem se 3tekami - Skenov叩n鱈 v PC obas blokuj鱈 firewally (v PC i v za鱈zen鱈)
  • 5. Pipojen鱈 k za鱈zen鱈 Sken winboxem pak vypad叩 n叩sledovn:
  • 6. Pipojen鱈 k za鱈zen鱈 Po vyskenov叩n鱈 zar鱈zen鱈 je mo転no kliknout bud na mac adresu, i na IP adresu - dle toho se do pole Connect to dopln鱈 p鱈slu邸n箪 炭daj -d叩le se vypln鱈 login, password ( keep password zachovat vyplnn辿 heslo) - Pi pipojov叩n鱈 pes MAC adresu obas nefunguj鱈 nkter辿 funkce ( pesun soubor哲 ), v tomto p鱈pad je teba se pipojovat pes IP adresu
  • 7. Pipojen鱈 k za鱈zen鱈 Pi pipojov叩n鱈 pes IP adresu sta鱈 zadat IP adresa za鱈zen鱈 (pokud je jich v鱈ce, tak sta鱈 libovoln叩) 2, telnet, ssh - routerOS je mo転n辿 se d叩le pipojit krz klasick箪 telnet, pop. SSH ( i podpora DSA kl鱈哲) - zde jen konzolov辿 rozhran鱈 (stejn叩 hierarchie polo転ek jako ve winboxu)
  • 8. Za鱈zen鱈 je pipojeno pes L2 / L3 ethernet s鱈泥 Pipojen鱈 pouze pes IP adresu v za鱈zen鱈 mus鱈 b箪t v箪choz鱈 br叩na (default gateway) a spr叩vn nastaven routing (viz. d叩le) - V p鱈pad 邸patn辿 IP konfigurace je mo転n辿 se pipojit mac telnetem pes jednotliv辿 za鱈zen鱈 (dosk叩kat)
  • 9. Typy za鱈zen鱈 Router-boardy - jedno炭elov辿 Licence pro x86 - klasick箪 pc, server Wrapy, alix
  • 10. Z叩kladn鱈 prosted鱈 winbox zdarma na www.mikrotik.com horn鱈 邸ed叩 li邸ta add cpu atd winbox :: Syst辿m Identity - popis za鱈zen鱈 winbox :: New Terminal
  • 12. Basic setup :: interfaces Winbox :: Interfaces -r哲zn辿 typy internet, wlan, bridge, vlan, tunely Pid叩n鱈 tla鱈tko PLUS (erven辿) Koment叩 転lut辿 tla鱈tko (symbol 邸t鱈tku)
  • 13. Basic setup :: interfaces
  • 14. Basic setup :: IP address Winbox :: IP address
  • 15. Basic setup :: Add IP adress Pid叩n鱈 erven辿 tla鱈tko +
  • 16. Basic setup :: Add IP adress Pid叩n鱈: Pole address: IP adresa/ maska -maska v podob potu bit哲 255.0.0.0 :: /8 255.255.0.0 :: /16 255.255.255.0 :: 24 255.255.255.248 /29 Pole interface vybrat rozhran鱈 -zbytek pol鱈 nepovinn辿, pop. nevypln鱈 se
  • 17. Basic setup :: IP adress Winbox :: New terminal Tenet / ssh -> /ip address print
  • 18. Basic setup :: IP adress :: IPv6 [admin@MikroTik] > ipv6 address print Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local # ADDRESS INTERFACE ADVERTISE 0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no 1 DL fe80::20c:42ff:fe1d:3d2/64 ether1 no 2 DL fe80::20c:42ff:fe1d:3d4/64 ether3 no 3 G fc00:1::1/64 ether1 yes 4 G fc00:2::1/64 ether2 yes
  • 19. Basic setup :: Default gateway Winbox: IP Routes
  • 20. Basic setup :: Default gateway Pid叩n鱈 + Pole destination (c鱈l) : 0.0.0.0/0 ( pop. 0/0 ) Pole Gateway ip adresa br叩ny
  • 21. Basic setup :: DNS servery RouterOS um鱈 jak dnscache, tak dns servery pro dom辿nu 1, nastaven鱈 dns server哲 vy邸邸鱈 炭rovn ( klasick辿 dns servery pro p鱈stup na inet) - Winbox :: ip DNS - V okn DNS - Settings
  • 22. Basic setup :: DNS servery
  • 23. Basic setup :: DNS servery 2, DNS cache Okno DNS :: Settings - Za邸krt叩v叩tko Allow remote requests
  • 24. Basic setup :: LAN Stejn辿 jako pechoz鱈 postupy Lan / wan z hlediska porovn叩n鱈 s klasick箪m broadband router rozli邸uje v nastaven鱈 firewallu / NAT-u (Masquerade) Pokud m叩 b箪t v鱈ce interfac哲 my邸leno jako LAN, mus鱈 se porty pidat do bridge
  • 25. Basic setup :: Bridges Winbox :: bridge + - name jm辿no bridge -> OK okno bridge z叩lo転ka ports - zde pidat jednotliv辿 rozhran鱈 (interface) do p鱈slu邸n辿ho bridge = rozhran鱈 se pak chovaj鱈 jako klasick箪 switch (L2) Plus se neuplatuje routing / firewall atd.
  • 26. Setup virtual interfaces Winbox :: interfaces - Jedn鱈m z virtu叩ln鱈ch interfac哲 je bridge - pro p鱈slu邸nost do vlany typ VLAN - bedr叩tov叩 karta Wireless - bridge re転im pro bezdr叩t. Rozrhan鱈 WDS - bonding sluov叩n鱈 interfac哲 (z叩lohy atd) - vrrp pro redundanci dvou a v鱈ce router哲
  • 27. Setup - VLAN - pid叩n鱈 jako virtu叩ln鱈 interface -d叩le piazen鱈 ke konkr辿tn鱈 vlan
  • 29. Setup :: DHCP server winbox :: IP DHCP server - bu pr哲vodce DHCP Setup - pop. run: 1, vytvoen鱈 poolu, rozsahu pidlovan箪ch ip adres :: winbox: IP Pool -name jm辿no, popisek - address rozsah ip adres, ip_rozsah/maska - OK
  • 30. Setup :: DHCP server
  • 31. Setup :: DHCP server winbox :: IP DHCP server - pid叩n鱈 vlastn鱈ho serveru -name jm辿no, popis serveru - interface kde m叩 poslouchat (i bridge) - address pool rozsah ip, vytvoen箪 d鱈ve, i static-only (pouze run pid叩n辿 z叩znamy) - alwast broadcast v転dy komunikovat v邸esmeov箪m vys鱈l叩n鱈m - use RADIUS ovov叩n鱈 dat z extern鱈ho zdroje
  • 32. Setup :: DHCP server
  • 33. Setup :: DHCP server :: Networks -zde nastaven鱈 v箪choz鱈 br叩ny, dns server哲 atd
  • 34. Setup :: DHCP server :: Leases
  • 35. Setup :: DHCP server :: Leases -pro vytvoen鱈 statick辿ho z叩znamy se 2x poklik叩 na dynamick箪 a pot辿 na Make Static
  • 37. Setup Firewall V RouterOS je smrov叩n鱈 port哲, firewall atd e邸en podobn jako v linuxu, ili pravidla ve firewallu se podobaj鱈 / odpov鱈daj鱈 linuxov箪m iptables (ipchains) V邸e se e邸鱈 v ip firewall Pr哲chody jednotliv箪mi tabulkami (chains) vych叩zen鱈 z principu fungov叩n鱈 routeru, resp. z pr哲chodu paketu kernel j叩drem
  • 38. Kernel Packet Traveling Diagram Network ---------+----------- | +--------------------------+ +-------+-------+ +---------+------------+ | IPCHAINS | | IPTABLES | | INPUT | | PREROUTING | +-------+-------+ | +-------+-------+ | | | | conntrack | | | | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | IMQ || | | +-------+-------+ | | | | nat | | <- DEST REWRITE | | +-------+-------+ | DNAT or REDIRECT | +---------+------------+ or DE-MASQUERADE +------------+--------------+ |
  • 39. Kernel Packet Traveling Diagram | +-------+-------+ | QOS | | INGRESS | +-------+-------+ | packet is for +-------+-------+ packet is for this machine | INPUT | another address +--------------+ ROUTING +--------------+ | | + PDBB | | | +---------------+ |
  • 40. packet is for this machine | | | +-------+-------+ | IPTABLES | | | INPUT | +-------+-------+ | +-----+-----+ | | IPTABLES | | | mangle | | | OUTPUT | | +-----+-----+ | | | filter || | +-----------+ | | +-----+-----+ | | | conntrack | | +-------+-------+ | +-----+-----+ | | | | mangle | | <- MARK WRITE +-------+-------+ | Local | | +-----+-----+ | | Process | | | nat | | <-DEST REWRITE +-------+-------+ | +-----+-----+ | DNAT or REDIRECT | +-------+-------+ | | filter | | | OUTPUT | | +-----+-----+ | | ROUTING | +-------+-------+ +-------+-------+ | | | |
  • 41. packet is for another address | | +---------------------------+ | | +-------+---------+ +---------+---------+ | IPCHAINS | | IPTABLES | | FORWARD | | FORWARD | +-------+---------+ +---------+---------+ | | | | | +-----+-----+ | | | | mangle | | <- MARK WRITE | | +-----+-----+ | | | | filter | | | | +-----+-----+ | | +--------+--------+ | | +------------------------------+ |
  • 42. Kernel Packet Traveling Diagram | | +----------------------+----------------------+ | +-------------+------------+ | | +-------+-------+ +---------+---------+ | IPCHAINS | | IPTABLES | | OUTPUT | | POSTROUTING | +-------+------- | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | nat | | <- SOURCE REWRITE | | +-------+-------+ | SNAT or MASQUERADE | +---------+---------+ +-----------------+----------+ | +------------+-------------+ | QOS EGRESS | +-----------+--------------+ |
  • 43. Setup z叩klady firewallu Winbox:: Okno firewall 1, (z叩lo転ka) - tabulka filter pro filtrov叩n鱈 paket哲, resp. pro pravidla, kter辿 bud maj鱈 pakety propustit, i odm鱈tnout. D叩le logovat, pid叩vat do seznam哲.
  • 44. Setup z叩klady firewallu Winbox:: Okno firewall 2, tabulka NAT - pro pravidla, kter叩 maj鱈 pakety pesmrovat jinam (na ip adresu ve vnitn鱈 s鱈ti), - i je zmnit ( ma邸kar叩da, resp. dnat )
  • 45. Setup z叩klady firewallu Winbox:: Okno firewall 3, tabulka MANGLE - prim叩rn pro oznaov叩n鱈 paket哲 ( markov叩n鱈 ) - pro zmnu TTL, DSCP, markov叩n鱈 spojen鱈
  • 46. Setup z叩klady firewallu
  • 47. Setup z叩klady firewallu
  • 50. Setup firewall - NAT
  • 51. Setup firewall - NAT
  • 52. Setup firewall - MANGLE
  • 53. Setup firewall - MANGLE
  • 54. Setup firewall - MANGLE
  • 55. Pesmrov叩n鱈 portu zven鱈 na vnitn鱈 IP/port Winbox :: ip firewall tabulka NAT - specifikovat vnj邸鱈 ip adresu, protokol, port pop. rozhran鱈 - c鱈l (action) : dst-nat (mn鱈m c鱈l paketu ) -to addresses: vnitn鱈 adresa ( nap. 192.168.1.100 ), rozsah mus鱈 existovat, i routa k nmu -to ports: pokud je teba zmnit i port
  • 56. Pesmrov叩n鱈 portu zven鱈 na vnitn鱈 IP/port
  • 57. Firewall NAT :: Ma邸kar叩da = zamaskov叩n鱈 vnitn鱈 s鱈t za jednu veejnou ip adresu ( z pohledu rozhran鱈 ) - mn鱈me tedy zdrojovou ip adresu nen鱈 p鱈m箪 p鱈stup zpt na lok叩ln鱈 po鱈tae v routerOS (linuxu) se tato funkce nach叩z鱈 ve firewallu -- tabulka NAT -- chain src-nat -- action MASQUERADE ( v linuxu : Iptables tab NAT - .. )
  • 58. Firewall NAT :: Ma邸kar叩da nastavuje se tedy: - chain v転dy src-nat (modifikujeme zdrojovou ip adresu / po鱈ta ) - src ip adress zdrojov箪 rozsah ip adres, co chceme NATovat. = lok叩ln鱈 ip rozsahy (nemus鱈me v邸echny rozsahy, z叩pis: ip_rozsah / maska) - v箪stupn鱈 interface (WAN), je povinn箪 pi chybj鱈c鱈m src ip rozsahu, ale ud叩v叩 se kv哲li lep邸鱈 itelnosti smyslu NATov叩n鱈 - action masquerade (co se s pakety m叩 dlat)
  • 59. Firewall NAT :: Ma邸kar叩da
  • 64. Logov叩n鱈 ve firewallu action LOG ve v邸ech tabulk叩ch
  • 65. U転ivatel辿 - Pr叩va winbox :: users
  • 67. U転ivatel辿 ssh 一鉛鱈艶
  • 68. 鱈zen鱈 rychlosti - QoS - syst辿m qos podobn箪 jako v linuxu - omezov叩n鱈/priorizace v ROS pou転鱈v叩 HTB Postup: 1, vytvoen鱈 oznaovac鱈ho pravidla - ve firewallu, tabulka MANGLE - action set-mark 2, vytvoen鱈 vlastn鱈 t鱈dy (ve queues)
  • 69. QoS pravidla v MANGLE - stejn箪 syst辿m vytv叩en鱈 pravidel jako v kapitole firewall - tabulka v転dy MANGLE - action v転dy packet-mark - mark bud m哲転e b箪t 鱈slo jako v linuxu, i njak箪 etezec (popis klienta, atd.)
  • 70. QoS pravidla v MANGLE
  • 71. QoS pravidla v MANGLE do pole New Packet Mark nap鱈邸eme popis, 鱈m転 mark vytvo鱈me, pop. vybereme ze seznamu ji転 existuj鱈c鱈ch mark tla鱈tkem vpravo OK
  • 72. QoS vytvoen鱈 t鱈dy winbox :: queues :: vybrat: - marku vytvoenou od minule - rozhran鱈 - limity