Академический Документы
Профессиональный Документы
Культура Документы
RUTINAS UTILES
Documentación
En varias ocasiones me han consultado sobre dar prioridad a tal o cual servicio o
protocolo con RouterOS MikroTik. El procedimiento, si bien es cierto parece un poco
largo, sin embargo su desarrollo obedece a una estructura HTB bien definida que
junto
con un pard e nuevas definiciones PCQ (para subida y para bajada) garantizan la
priorización de los paquetes deseados.
En este caso daremos prioridad a paquetes ICMP.
1) Creas un access list para especificar las IPs o las redes que vas a filtrar
/ip firewall address-list add address=192.168.1.0/24 list=lista
2) MANGLE - marcar conexión
/ip firewall mangle add chain=prerouting protocol=icmp action=mark-connection
newconnection-mark=conn_lista passthrough=yes src-address-list=lista
3) MANGLE - marcar paquetes
/ip firewall mangle add chain=prerouting action=mark-packet new-
packetmark=pack_lista passthrough=yes
connection-mark=conn_lista
*** recuerda que es muy importante marcar primero Conexiones y luego marcar
paquetes... esto garantiza el desempeño del router
4) QUEUE - Queue Types. Crear dos nuevos tipos de queue (uno para Upload y otro
para Download) basados en PCQ
/queue type add name="Pcq_Download" kind=pcq pcq-rate=0 pcq-limit=50
pcqclassifier=dst-address pcq-total-limit=2000
/queue type add name="Pcq_Upload" kind=pcq pcq-rate=0 pcq-limit=50
pcqclassifier=src-address pcq-total-limit=2000
5) QUEUE - Queue Tree. Previamente debes haber diseñado tu estructura HTB. En el
ejemplo a continuación se asume que las Q*_Download y Q*_Upload ya han sido
creadas previamente con sus respectivos hijos, límites y prioridades
/queue tree print (para mostrar las colas previamente creadas)
0 name="Q1_Download" parent=bridge1 limit-at=4M priority=8 max-limit=4M
burstlimit=0
burst-threshold=0 burst-time=0s
1 name="Q2_Download" parent=Q1_Download limit-at=2M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
2 name="Q3_Download" parent=Q2_Download limit-at=1M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
3 name="Q3.1_P2P" parent=Q3_Download packet-mark=packet_Red_P2P limitat=64k
queue=Pcq_Download
priority=8 max-limit=4M burst-limit=0 burst-threshold=0 burst-time=0s
4 name="Q3.2_Navegacion" parent=Q3_Download packet-mark=packet_lista_red
limit-at=928k
queue=Pcq_Download priority=1 max-limit=4M burst-limit=0 burst-threshold=0
bursttime=0s
*** En este momento creamos la cola hijo especifica para ICMP
/queue tree add name="Q3.3_ICMP" parent=Q3_Download packet-mark=packet_ICMP
limit-at=32k queue=Pcq_Download priority=1 max-limit=4M burst-limit=0
burstthreshold=0 burst-time=0s
*** Se asigna la prioridad 1. Tomar en cuenta que las sumas de los limit-at de
Q3.1,
Q3.2 y Q3.3 no excede el limit-at=1M (equivalente a 1024kbps) de su padre
Q3_Download
Con todas estas consideraciones de Marcado de conexiones/paquetes, PCQ (up y down)
y una correcta organizacion de estructura previa de HTB, se garantiza que la
prioridad
será asiganada en forma correcta a los paquetes ICMP. Recordar tambien que
Priority=1
es la más alta y Priority=8 es la más baja.
*** Algo muy importante que recordar... si trabajas conjuntamente Queue Tree con
Simple Queues, las definiciones en Simple Queue tienen prioridad sobre Queue Tree.
Es decir, si creas una regla en Simple Queues que involucra a las IPs o redes que
tambien estén definidas en Queue Tree, se ejecutará primero las reglas en Simple
Queues dejando sin efecto las reglas en Queue Tree.
Las colas simples son eso... SIMPLES, y muchas veces lejos de solucionar el
problema
entorpecen el desempeño de los Queue Tree.
Las colas simples debes usarlas solo para salir del paso y en configuraciones muy
elementales, ni siquiera para una configuración de QoS en casa... para eso debes
usar
Queue Tree con PCQ y HTB.
/ ip firewall filter
Esta forma es masiva, y evita estar aplicando cuanto parche que pillemos al msn...
desde el punto de vista de la red... un muy ligero ahorro de carga y para los pc
viejos, un
alivio al momento de mostrar mas imágenes y por sobre todo cargar alguna publicidad
en flash.
He ahí el problema... cualquier tercero puede utilizarlo como parent proxy y con
ello
sobrecargar la bajada y subida de la conexión al punto de hacerla inoperante... con
lo
que los pings se disparan y ni google.cl se logra visualizar...
Una de las reglas simples y efectivas es habilitar los inputs en el webproxy del
router sólo para la red interna lo que quedaría así:
Con ello bloqueamos el acceso al webproxy para todas las ips que no sean de la
red...
y vualá tenemos un webproxy sólo interno y de inmediato ( en el caso de la red
"amiga") vemos que bajan las conexiones en el firewall y los 4 megas de UP/DOWN
que teníamos inexplicablemente se van dando paso a pings de 13 o 14 a servidores
nacionales!! :D.
Además como regalito de navidad, una regla aplicada a los intentos de login por ssh
y
telnet, usando el mismo principio de los múltiples intentos, pero más restringido:
Hola a todos como ya saben desde que se contó con la ceremonia de la red, hasta
excursión entre la jungla ( en donde se combatió contra los Dlink-cuentes) la red
ha
estado bajo la protección de un titán, es decir Mikrotikon Primero, quien desde hoy
maneja totalmente la red pues, esta todo listo para decirle adios a nuestro bien
ponderado y aperrador vasallo Sn. linksys WRT54G, quien desde hace tiempo se las
dió
de Top y se fue a los cielos a hacer el traspaso de red a Wireless, pero como todo
ciclo
que termina se le habré la puerta ancha para decirle: Adiós y gracias y dejar
directamente al nuevo todopoderoso y mítico router SO manejar todo desde su Atheros
AR5213 :D a 200 mw :) con lo que esperemos en Dios que todo ande mejor, las
transferencias suban y lleguemos a la estabilidad que la deseamos desde hace
tiempo...
Coming Soon...
como copucha tengo que decirles que lo mas probable es que dejemos 3 nodos pronto,
y
el nodo central con 2 antenas :D , claro que todo esta sujeto a factibilidad
técnica...
jojojo...
Server Conection Failed, DNS no resolve ?
martes, 29 de agosto de 2006
Una de las causas de que en una red no podamos ver páginas que sabemos que se
encuentran operativas, es el exceso de tráfico, con lo que nuestras peticiones de
conexión quedan sin ser aceptadas, es debido a esto que es frecuente el aumentar la
prioridad por tipo de paquetes o puertos, es así como existen prioridades para
trafico
dns y web ( Puerto 53 y 80 respectivamente). En el siguiente caso no se realizará
un
sistema de prioridades, sino que se establecerá una Cola Dinámica, la que es capaz
de
administrar el ancho de banda tanto en la subida como en la descarga.
Lo primero es marcar los paquetes para nuestra red local: (por mi parte utilizo la
10
.8.1.0/24, estos valores deben cambiarlos para su red)
Ahora las PCQ que nos ayudaran a agrupar el marcado por interfaz (tanto para la
bajada o conexión local, como para la subida o conexión a Internet)
Ahora repetimos los pasos pero con el ancho de subida (1024000 bps de upload para
mi
conexión) en la Interfaz correspondiente (Internet para mi router)
/queue tree add name=Upload parent=Internet max-limit=1024000 priority=1
/queue tree add parent=Upload queue=pcq-upload packet-mark=users