http://mikrotik.moscow Новое в теме Очередь Мангл: соединение и отметка пакета, зачем оба? форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sun, 05 Apr 2026 21:56:20 +0300 Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Ну, насчёт p2p я не уверен, это зависит от твоей настройки. И я не вижу, как можно установить новое соединение поверх старого (например, с тем же src-порт) и при этом не уведомлять ConnTrack… но “Пока твое соединение остаётся в таблице отслеживания соединений, у него будет эта отметка, даже если эти правила отключены” — это полностью верно. Установленное соединение сохраняет conn-mark, если ты не перезапишешь его новым.
20.07.2009 21:13:00, Chupaka.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402029 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402029 Mon, 20 Jul 2009 21:13:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Ну что, однажды я занимался поиском неисправностей и заметил, что хотя я менял метку соединения для определенного потока данных, поток продолжал использовать старую метку. Вот что MT написал мне после консультации: "Пока ваше соединение остается в таблице отслеживания соединений, у него будет эта метка, даже если эти правила отключены". То же самое происходит и сейчас. Чтобы проверить маркировку соединения и посмотреть, какой именно трафик находится в conn.tracker, я каждый раз приходится удалять весь список, иначе я просто вижу старые метки, перемешанные с новыми. Несколько месяцев назад я заметил, что могу убить P2P-сессию только путем удаления всех записей отслеживания соединений после того, как начал блокировать некоторые из них с помощью фильтра брандмауэра. Если я не удалял соединение в трекере, оно возвращалось каждый день, даже если клиент выключил свой ПК или я отключил его антенну (отключил порт ether). В следующий раз, когда он снова включился, P2P-поток снова начал работать, потому что время ожидания отслеживания http-соединения составляло 24 часа или около того. Я вернул время ожидания к 1 часу, и на следующий день клиент звонил и жаловался, что у него не работает P2P! Для меня это достаточное доказательство того, что пока соединение находится в трекере соединений, оно МОЖЕТ (а не будет!) использоваться тем же приложением снова. Эх, спасибо, что подсказали кнопку ´edit´. Раньше я её никогда не видел!
20.07.2009 15:41:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402028 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402028 Mon, 20 Jul 2009 15:41:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Как видите, мы говорим о разных вещах =) Пожалуйста, поищите кнопку ‘Edit’… Можете ли вы привести пример подобной связанной связи с умершим родителем?..
20.07.2009 06:49:00, Chupaka.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402027 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402027 Mon, 20 Jul 2009 06:49:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Прости, ещё одна поправка: механизм отслеживания соединений отвечает за проставку меток, пока соединение указано в таблице отслеживания. Так что даже если соединение уже не активно, но всё ещё зарегистрировано, трафик, возникший в результате этого самого соединения, продолжит получать те же самые метки, пока соединение остаётся в списке.
19.07.2009 23:00:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402026 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402026 Sun, 19 Jul 2009 23:00:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Ой, чуть не забыл упомянуть: это connection tracker следит за тем, чтобы пакеты (включая ответы/возвраты) принадлежащие первичному инициированному соединению, имели один и тот же маркер, пока соединение остается активным…
19.07.2009 22:57:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402025 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402025 Sun, 19 Jul 2009 22:57:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
По моему скромному мнению, ´connection-state=new´ означает пометку только пакетов, которые НАЧИНАЮТ новое соединение. Пометку пакетов, принадлежащих к существующему соединению, следует делать с опцией ´connection-state=established´. Если эту опцию не указывать, то ВСЕ соединения по этому аргументу будут помечены, а именно – и те, что начинают соединение, и пакеты, принадлежащие ему. Всё в одном правиле. Никаких ´connection-state=´ указывать не нужно. Это то, как обычно делают в большинстве примеров в руководстве и вики…
19.07.2009 22:55:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402024 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402024 Sun, 19 Jul 2009 22:55:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Ну ладно, если ты отмечаешь соединения, то, думаю, лучше сначала использовать ‘connection-state=new’. Отметка соединения останется здесь на протяжении всего его жизненного цикла. Что именно ты делаешь при проверке входящего интерфейса?.. Это может быть полезно, а может и бесполезно, в зависимости от твоей конфигурации.
19.07.2009 22:26:00, Chupaka.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402023 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402023 Sun, 19 Jul 2009 22:26:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Спасибо, но я заметил опечатку в своем предыдущем посте: "Но теперь, прочитав все больше и больше, я начинаю склоняться к этой идее. Могу ли я отказаться от упоминания входящего интерфейса?" Надо было написать: "Но теперь, прочитав все больше и больше, я начинаю склоняться к этой идее, что могу ли я отказаться от упоминания входящего интерфейса? Один из моих преподавателей посоветовал покопаться с входящим интерфейсом в качестве одного из аргументов, но после чтения, чтения и еще раз чтения я пришел к идее, что его тоже можно оставить позади... Это сэкономит мне несколько дополнительных правил для пинга и winbox'а к роутеру и т.д. Также это упростит копирование настроек mangle одного роутера в настройки другого, поскольку некоторые интерфейсы не всегда выполняют одинаковые функции. Согласно официальной вики: "Queue tree создает только однонаправленную очередь в одном из HTB. Это также единственный способ добавления очереди на отдельный интерфейс. Таким образом, возможно упростить конфигурацию mangle - не нужно отдельных меток для загрузки и выгрузки - только загрузка будет направляться на Public interface, а только выгрузка - на Private interface." Так что я немного запутался и ищу тут советы. В любом случае, я считаю, что QoS с mangle и лучшие практики все еще могли бы иметь больше и более понятных объяснений и на этом форуме, и в вики. Я даже нашел пользовательские добавки в вики, которые не попадают в категорию "лучшие практики". Печально, что MT не комментирует эти дополнения. Это создает только больше путаницы или ставит менее опытных пользователей на ложный путь…
19.07.2009 21:38:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402022 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402022 Sun, 19 Jul 2009 21:38:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Ну, ‘forward’ цепочка – это когда решение по маршрутизации и src-deNAT уже сделаны, в отличие от ‘prerouting’, и иногда она может пригодиться для твоей задачи. Иногда нет =) Выбирай цепочку в зависимости от своих нужд, http://wiki.mikrotik.com/wiki/Packet_Flow очень поможет =)
19.07.2009 16:42:00, Chupaka.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402021 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402021 Sun, 19 Jul 2009 16:42:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Привет, Чупака! Похоже, у тебя есть опыт работы с mangle и QoS. Я всегда настраивал правила mangle для пометок соединения на входящем интерфейсе в цепочке prerouting. (И, конечно же, пакетный маркер тоже). Но теперь, прочитав все больше информации, я начинаю от этого отказываться. Могу ли я отказаться от упоминания входящей цепочки? (Это сэкономит мне пару-тройку правил, которые я потом могу объединить в одно. Меньше — лучше.) И почему большинство примеров mangle в Вики и на форуме сделаны в цепочке forward? Почему не в prerouting? Pre-routing же "ловит" все? Буду признателен за любые мысли по этому поводу!
19.07.2009 16:35:00, WirelessRudy.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402020 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402020 Sun, 19 Jul 2009 16:35:00 +0400 RouterOS Очередь Мангл: соединение и отметка пакета, зачем оба? RouterOS в форуме RouterOS.
Привет, там куча примеров по управлению QoS, которые помечают пакеты с помощью вещей вроде: [admin@MikroTik] > /ip firewall mangle add chain=forward \
... p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn
[admin@MikroTik] > /ip firewall mangle add chain=forward \
... connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p

Вопрос в том: зачем нам два правила? Почему мы не помечаем только пакеты? Думаю, это вопрос производительности, но просто хочу убедиться. Может кто-нибудь, пожалуйста, объяснит это?
13.06.2009 22:57:00, nejcs.]]> http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402019 http://mikrotik.moscow/forum/forum57/85991-ochered-mangl_-soedinenie-i-otmetka-paketa_-zachem-oba/message402019 Sat, 13 Jun 2009 22:57:00 +0400 RouterOS