Изборник Затворити

Микротик: Расподела саобраћаја на више интернет линкова (III део)

Скраћена веза: https://pedja.supurovic.net/veza/6132

Претходни чланак Микротик: Расподела саобраћаја на више интернет линкова (II део) је описао потребна подешавања да би се рутер и интернет линкови оспособили за коришћење. Но, како смо видели, оба линка у тој конфигурацији не могу да се користе истовремено, већ други служи само као резерва да ускочи ако први, главни линк, престане да ради.

Ако пак имамо два подједнако добра линка, не бисмо желели да један стоји неискоришћен. Желели бисмо да омогућимо да се оба користе истовремено, а да се саобраћај равномерно распоређује на оба дајући нам тако на располагање укупан пун проток оба линка. Време је да се позабавимо и тим подешавањем. […]
[ ... види цео чланак ... ]

Микротик: Расподела саобраћаја на више интернет линкова (II део)

Скраћена веза: https://pedja.supurovic.net/veza/6120

У претходном чланку Микротик: Расподела саобраћаја на више интернет линкова (I део) смо поставили задатак за конфигурацију мреже са два интернет линка која треба да обезбеди да се интернет саобраћај равномерно распореди по оба линка.

Да бисте даље могли да пратите упутство неопходно је да добро познајете основе подешавање микротика за дељење интернет конекције. Детаљно о томе имате на Микротик – Основно подешавање за дељење интернет конекције и ограничење протока . У овом чланку ћу само прелетети преко подешавања подразумевајући да знате да их урадите и сами.

Сада ћемо поставити основну конфигурацију.

Локална мрежа

На почетку, треба да подесимо локалну мрежу. […]
[ ... види цео чланак ... ]

Микротик: Расподела саобраћаја на више интернет линкова (I део)

Скраћена веза: https://pedja.supurovic.net/veza/6100

У данашње време потребе за интернетом постају такве да је врло често неопходно користити више одвојених интернет линкова за повезивање. Одатле и потреба да један микротик прихвати више линкова и изврши расподелу саобраћаја корисника кроз њих.

Осим у посебним условима, немогуће је спојити два или више линка тако да се понашају као један. Оно што јесте могуће, то је да се саобраћај распореди по линковима тако да се они равномерно оптерећују. Ово се може вршити на више начина:

– да се омогући да се долазне конекције према серверима који се налазе у локалној мрежи равномерно расподеле по свим линковима;

– да се унапред одреди који корисници ће бити усмеравани на који интернет линк те да се тако ручно врши расподела оптерећења;

– да се направи неко правило које ће аутоматски преусмеравати конекције корисника према Интернету тако да се обезбеди равномерно оптерећење линкова. […]
[ ... види цео чланак ... ]

Микротик: више јавних ИП на једном интерфејсу

Скраћена веза: https://pedja.supurovic.net/veza/5211

Недавно сам имао необичан случај мапирања портова за два сервера иза НАТ рутера. У локалној мрежи су подигнута два веб сервера, и требало је обезбедити да сваки од њих види са Интернета.

Са једним сервером је то лако, на мрежном интерфејсу на који долази интернет линк се подеси dst-nat порта tcp 80 ка серверу и то је готова ствар. Подешавање изгледа овако:

Интерфејсу додељујемо ип адресу:
/ip address add address=89.72.87.41/28 interface=wan disabled=no

Све одлазне конекције су усемрене маскарадом преко wan интерфејса:
/ip firewall nat chain=srcnat action=masquerade out-interface=wan

Долазне конекције на порт 80 су мапиране на ип адресу локалног сервера:
/ip firewall nat chain=dstnat action=dst-nat
\
dst-port=80 protocol=tcp to-addresses=10.10.10.2

Два сервера и рутер – вашар

Али, шта када је то потребно урадити када је потребно мапирати исти порт на два сервера? […]
[ ... види цео чланак ... ]

Микротик: заштита мреже од спамботова

Скраћена веза: https://pedja.supurovic.net/veza/1505

Када је неки рачунар заражен спамботом, он почиње да шаље огрому количину спама по целом Интернету. Ако не пратите саобраћај, проблем ћете приметити тек када ИП адреса ваше мреже буде стављена на црне листе због спамовања.

Да бисте то предупредили можете предузети неке заштитне мере, а не можете се ослонити на саме кориснике да ће они да се штите од вируса и тројанаца, нити ви то можете да радите на њиховим рачунарима. Зато имате Микротик који ће да обави посао.

Заштита блокирањем свих конекција на СМТП порт

Имејл се шаље СМТП протоколом на стандардни порт 25.  Довољно је да блокирате све одлазне конекције на порт 25 ТЦП и више неће бити могуће слати имејл са ваше мреже на Интернет. […]
[ ... види цео чланак ... ]

Микротик: филтрирање конекција по протоколима

Скраћена веза: https://pedja.supurovic.net/veza/1479

Врло је честа потреба да у рутеру или заштитном зиду (firewall) пресретнете неки одређени протокол, да бисте му, рецимо, дали виши или нижи приоритет, да бисте регулисали брзину протока или чак тај протокол забранили. Разлога за препознавање протокола има много.

Неке протоколе је лако разазнати јер користе наменске портове, као на пример POP3, SMTP, HTTP, SSH, FTP и слични. За такве протоколе обично је сасвим довољно филтрирати конекције по познатим портовима, примењујући логику да ако конекција користи одређени порт, то значи да је то конекција која користи и протокол за који је тај порт намењен.

Недостаци филтрирања по портовима

протокол порт
FTP 20 TCP
21 TCP
SSH 22 TCP
22 UDP
Telnet 23 TCP
SMTP 25 TCP
POP3 110 TCP
DNS 53 TCP
53 UDP
DHCP 67 UDP
68 UDP
HTTP 80 TCP
NTP 123 UDP
NetBIOS 137 TCP
137 UDP
138 TCP
138 UDP
139 TCP
139 UDP
DC 411 TCP
412 TCP

Филтрирање по портовима има и слабих страна. […]
[ ... види цео чланак ... ]