+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Медленный интернет из-за файрвола.

Медленный интернет из-за файрвола., RouterOS

smhula

Guest

06.07.2015 09:20:00

Всем привет! Столкнулся с проблемой в настройке файрвола: когда включаю правила FW, интернет начинает сильно тормозить, и люди нормально работать не могут. Вот какая у меня настройка:

/ip firewall address-list
add address=192.168.0.0/24 list=kcwlan

/ip firewall filter
add action=drop chain=input connection-state=invalid disabled=no
add chain=input comment="Allow Access From LAN" disabled=no src-address-list=kcwlan
add chain=input comment="Accept establishes connection on input chain" connection-state=established disabled=no
add chain=input comment="Allow related traffic on the router itself" connection-state=related disabled=no
add action=drop chain=input comment="Drop All other traffic" disabled=no
add action=drop chain=forward comment="Block Forwarding of invalid packages" connection-state=invalid disabled=no
add chain=forward comment="Accept new connections from our bridge-lan" connection-state=new disabled=no src-address-list=kcwlan
add chain=forward comment="Accept established connections" connection-state=established disabled=no
add chain=forward comment="Accept related connections like: ftp, etc" connection-state=related disabled=no
add action=drop chain=forward comment="drop all other traffic" disabled=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Есть ли какие-то проблемы с этим базовым сетапом? Заранее спасибо за помощь!

smhula

Guest

25.07.2015 10:59:00

Привет, Ярда, спасибо за информацию. Я пытался это сделать, но, похоже, RouterOS не позволяет выполнить это (ни через Winbox, ни через командную строку). Можешь объяснить, как это возможно? Представляю, насколько быстро это будет. С уважением.

smhula

Guest

24.07.2015 17:47:00

Всем привет! В последнее время я был очень занят и безумно старался решить все эти проблемы. Очень хочу поблагодарить вас, ребята, за ваше время — именно это делает форумы ценными.

Что мне нравится в трудностях и проблемах — они часто открывают нам новые взгляды на вещи, и со мной именно так и случилось. Я продолжал копаться и наткнулся на интересные обсуждения: http://forum.mikrotik.com/t/firewall-slow-down-forwarding-packets/37328/1 и http://lists.clug.org.za/pipermail/clug-chat/2014-February/028095.html.

И вот эти слова очень меня зацепили:
Состояние соединения в фаерволе может быть только одно: новое, установленное, связанное ИЛИ недействительное. Один пакет не может одновременно находиться в нескольких состояниях.

Это как бы подытоживает обсуждение по второй ссылке:
/ip firewall filter
add chain=input connection-state=established action=accept
add chain=input connection-state=related action=accept
add chain=input connection-state=invalid action=drop
add chain=input in-interface= action=accept
add chain=input action=drop
add chain=forward connection-state=established action=accept
add chain=forward connection-state=related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward in-interface= action=accept
add chain=forward action=drop

Я применил эту настройку, и теперь интернет будто с мотором Ferrari.

Есть ли у кого-то мнение или взгляды по этой конфигурации?

Еще раз: ОГРОМНОЕ СПАСИБО ВСЕМ!

jarda Guest	#4 0 24.07.2015 22:06:00 Оставьте одно правило, объединяющее уже установленные, связанные между собой правила. Повышайте производительность, используя fasttrack.

Pea

Guest

27.07.2015 18:46:00

Если вы не используете простые очереди и тому подобное, можно включить Fasttrack для повышения скорости (ROS 6.29 и новее). Просто поставьте это правило выше остальных правил фаервола: /ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

Чтобы проверить, что Fasttrack включен, зайдите в IP->Settings и должны увидеть подсчет пакетов в новом динамическом фиктивном правиле фаервола.

smhula Guest	#6 0 27.07.2015 19:14:00 Теперь я быстр и яростен. Огромное спасибо.

smhula

Guest

27.07.2015 19:19:00

Привет! Есть какие-нибудь советы по QoS или как не допускать, чтобы пользователи забирали всю полосу пропускания только себе? Буду рад, если порекомендуешь книгу, руководство, учебник или даже статьи, которые объясняют, что происходит с QoS. Заранее спасибо!

jarda Guest	#8 0 01.08.2015 16:12:00 Прочитайте руководство по работе с очередями. Нельзя использовать fasttrack вместе с очередями, так как fasttrack обходит и очереди тоже…

smhula Guest	#9 0 02.08.2015 16:33:00 Спасибо, я поищу их в интернете. Можете порекомендовать какой-нибудь конкретный заголовок книги? Большое спасибо за ваше внимание и поддержку.

Pea Guest	#10 0 26.07.2015 18:17:00 Просто нажмите на оба пункта — established и related — в WinBox…

smhula Guest	#11 0 27.07.2015 10:49:00 Привет, Pea, спасибо за внимание! Какую версию IOS ты используешь? Потому что у большинства моих роутеров стоит версия 6.15, и они не дают (так сделать). С уважением.

TomosRider Guest	#12 0 27.07.2015 12:22:00 Если ваша лицензия позволяет, обновите ROS до последней версии.

smhula Guest	#13 0 27.07.2015 17:02:00 Теперь я супербыстрый. Спасибо, что были рядом. Каждый день люблю Mikrotik всё больше.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры