Professional Documents
Culture Documents
MODULO INTERMEDIO
Zbyte TelCo.
CONTROL DE TRAFICO AVANZADO
Temario a Impartir
Interpretación del diagrama completo de flujo.
Usos avanzados de Firewall, Nat y Mangle.
UPnP, WebProxy, WebProxy HIT.
DNS y DHCP cliente y servidor.
QoS, CIR, MIR, BURST, HTB.
Simple Queue, Queue Tree.
Disciplinas de encolamiento.
Balanceo de links de internet.
VPN
Address List.
Laboratorio Inicial
Resetear el router con la opción “no-default=yes”
Crear red I0.0.ID.0/24 entre su laptop (.254) y el router (.1)
Conectar su router al SSID “Training MikroTik “
Levantar un cliente DHCP sobre la interfaz WLAN. El AP del
entrenador provee IP, DNS y Gateway.
Obtener acceso a internet desde su laptop a través de su propio router.
Establecer el Identity y radio name de su router con su ID y nombre
Ej: “0I – MARIO”
Crear un backup y copiarlo a su laptop para tenerlo como
configuración inicial.
Verificación Rápida
Todos deben estar en lista de registración .
Verificar al radio-name de cada estación registrada.
Verificar que su router haya tomado IP, DNS y Gateway.
Verificar al acceso a internet desde su router y PC.
PACKET FLOW
Chains por defecto y Connection Tracking
Las reglas pueden ser ordenadas en 3 cadenas por defecto:
• INPUT: Procesa paquetes que tienen como destino final el router.
• OUTPUT: Procesa paquetes enviados por el router.
• FORWARD: Procesa paquetes que atraviesan el router.
Connection Tracking:
• Es el Corazón del firewall. Mantiene un registro de todas la conexiones
activas
• Al deshabilitarlo, se liberan recursos de CPU, Pero se pierde toda la
funcionalidad de NAT y MANGLE.
Chains por Defecto
Estado de Conexiones
Representa un estado asignado por el connection tracking a cada
paquete
> New: Paquete que abre una nueva conexión.
> Established: Paquete que pertenece a una conexión ya
abierta
> Invalid: Paquete que no forma parte de ninguna conexión
valida.
> Related: Paquete que también abre una nueva conexión,
pero relacionado de alguna manera a una conexión ya
establecida.
Acciones Firewall
• ACCEPT: Acepta los paquetes.
• DROP: Descarta los paquetes.
• JUMP: Salta a una cadena especifica.
• RETURN: Regresa a la cadena desde donde salto.
• LOG: Muestra en el log, información del paquete.
• PASSTHROUGH: Solo incrementa los contadores.
• ADD SRC/DST TO ADDRESS LIST: Envía el origen/destino a una lista.
• REJECT: Lo mismo que drop, pero envía un mensaje ICMP de rechazo.
Cadenas de Firewall
• Además de las cadenas predefinidas (input, forward y output),
se pueden crear cadenas adicionales .
• Hacen la estructura del Firewall más simple.
Protocolo ICMP
ICMP es una herramienta de análisis y reparación de una red, el cual
debe ser permitido atravesar el Firewall.
2 3
Políticas de Ruteo
• Ejemplos de políticas de ruteo:
• Por protocolos (http/https/ftp)
• Interfaces (entrada/salida)
• Address (source o destination)
• Tipo de tráfico (p2p y tráfico
“normal”)
-Burst (ráfagas).
-Dual limitation (limitación dual).
-Queue hierarchy (jerarquía de colas).
-Priority (prioridades).
-Queue discipline (disciplinas de encolamiento).
Las disciplinas de queuing controlan el orden y la velocidad de los
paquetes saliendo por la interfaz de SALIDA.
CIR y MIR
Hay 2 tipos de limites:
-max-limit: 172Kbps/1024Kbps
-dst-address: ip_del_web_server
Cree un queue para limitar la comunicación de su laptop con
internet
-max-limit a 172Kbps/384Kbps.
Ráfagas (Burst)
Es una de las maneras de asegurar QoS.
Son usados para permitir velocidades más altas por cortos
periodos de tiempo.
Si el promedio de velocidad “average data” es menor que el
parámetro “burst threshold” , el burst será permitido (alcanza la
velocidad de “burst limit”). (switch on-off).
El promedio (average data) es calculado:
Con los últimos “burst-time” segundos.
El burst-time es dividido en 16 periodos.
Ráfagas (Burst)
Todas las hijas tienen la misma prioridad, por lo que una vez cumplido
su Limit-at, el resto se distribuye equitativamente.
HTB - Ejemplos
Una vez cumplidos todos los Limit-at de las hijas, B aún tiene 2Mbps de
Limit-at que llenar. Luego se distribuye el resto por prioridad.
LAB: HTB