Вы находитесь на странице: 1из 26

УПРАВЛЕНИЕ ТРАФИКОМ

НА MIKROTIK
контрольные вопросы

Версия 1.03
support@kursy-po-it.ru
Оглавление
Введение ...................................................................................................................................................... 3
Инструкция по использованию .............................................................................................................. 3
Задачи на поиск ошибок в конфигурации ............................................................................................. 3
Вопросы ........................................................................................................................................................ 4
Модуль 1. Схема прохождения трафика ............................................................................................... 4
Модуль 2. Брандмауэр............................................................................................................................ 4
Отслеживание соединений ................................................................................................................ 4
Фильтр .................................................................................................................................................. 5
NAT ......................................................................................................................................................13
Mangle.................................................................................................................................................14
Модуль 3. QoS ........................................................................................................................................15
Контрольные вопросы №1 ...............................................................................................................15
Контрольные вопросы №2 ...............................................................................................................15
Контрольные вопросы. Расчеты в HTB – 1 .......................................................................................16
Контрольные вопросы. Расчеты в HTB – 2 .......................................................................................17
Контрольные вопросы. Расчеты в HTB – 3 .......................................................................................18
Найдите неточность ..........................................................................................................................20
Ответы ........................................................................................................................................................20
Модуль 1. Схема прохождения трафика .............................................................................................20
Модуль 2. Брандмауэр..........................................................................................................................21
Отслеживание соединений ..............................................................................................................21
Фильтр ................................................................................................................................................21
NAT ......................................................................................................................................................24
Mangle.................................................................................................................................................24
Модуль 3. QoS ........................................................................................................................................24
Контрольные вопросы №1 ...............................................................................................................24
Контрольные вопросы №2 ...............................................................................................................25
Контрольные вопросы. Расчеты в HTB – 1 .......................................................................................25
Контрольные вопросы. Расчеты в HTB – 2 .......................................................................................25
Контрольные вопросы. Расчеты в HTB – 3 .......................................................................................25
Найдите неточность ..........................................................................................................................25

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 1 из 25
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 2 из 25
Введение
Инструкция по использованию
Этот документ состоит из 3 частей:

1. Введение. Вы его сейчас читаете.


2. Вопросы. На них вы должны ответить самостоятельно.
3. Ответы. Свои ответы вы можете сравнить с моими.

Задачи на поиск ошибок в конфигурации


В качестве контрольных вопросов иногда будут встречаться задачи, в которых надо будет найти
ошибку в конфигурации. Условие всегда будет звучать так: «Найдите ошибки в конфигурации».
При этом ошибка может быть одна, а может быть и больше. Так же ошибок может и не быть
вообще. Исходно считается, что конфигурация изначально писалась человеком, а не делалась с
помощью выгрузки с маршрутизатора. Поэтому в ней возможны опечатки, которые так же надо
найти. Это сделано специально, чтобы тренировать внимательность.

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 3 из 25
Вопросы
Модуль 1. Схема прохождения трафика
1. Назовите возможные точки входа.
2. Назовите объекты, через которые проходит трафик, когда сотрудник переходит на сайт
yandex.ru?
3. Запущен ping до маршрутизатора. Назовите объекты, через которые проходит трафик?
4. Инженер решил проверить с маршрутизатора доступность узла 8.8.8.8 и запустил до него ping.
Назовите объекты, через которые проходит трафик?
5. При маршрутизации пакета уменьшается количество маршрутизаторов, через которые в
дальнейшем пакет мог бы пройти. Назовите цепочку и объект, в котором это происходит.
6. В какой из цепочек отсутствует возможность маркировки пакета?
7. Какие объекты служат для снижения нагрузки на маршрутизатор в случае DoS атаки?
8. В каком объекте и в какой из цепочек происходит отслеживание соединений?
9. Input Interface может быть и физическим и виртуальным портом. Утверждение правдиво или
ложно?
10. Output Interface обязательно должен быть физическим портом. Утверждение правдиво или
ложно?
11. Почему после “Input Interface” есть “Prerouting”, а после “Local Process Out” нет?
12. Какой объект присутствует при абсолютно любом движении трафика?
13. Какие цепочки используются, если запустить ping с маршрутизатора до 8.8.8.8?

Модуль 2. Брандмауэр
Отслеживание соединений
1. Connection State не совпадает с TCP state. Утверждение правдиво или ложно?
2. Как называется соединение, которое является обязательным до создания “related”
соединения.
3. Есть ли способы миновать Connection Tracker? Если есть то, что для этого требуется?
4. В Connection Tracker можно увидеть маркировку соединения. Утверждение правдиво или
ложно?
5. При удалении соединения в Connection Tracker происходит ли запрет на восстановление
удаляемых соединений в последующем?
6. Можно ли в Connection Tracker запретить промаркированный трафик?
7. Приведенное ниже правило стоит первым в списке. Будет ли в таком случае ответ на ping
запрос до маршрутизатора?

add action=drop chain=input connection-state=!established,related

8. Можно ли будет при наличии соответствующих пробросов портов при таком правиле
скачивать данные с локальной сети с помощью протокола SMB (расшаренная сетевая папка) и
с помощью FTP в пассивном режиме?

add action=drop chain=forward connection-state=invalid,related in-interface=ether1-WAN

9. Что произойдёт если два последних правила поменять местами?

add chain=input action=drop connection-state=invalid

add chain=forward action=drop connection-state=invalid

add chain=input action=accept connection-state=established,new protocol=tcp dst-port=8291

add chain=input action=drop connection-state=new protocol=tcp dst-port=8291

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 4 из 25
Фильтр
Контрольные вопросы №1
1. Какая информация содержится в сокете?
2. Сколько сокетов необходимо для установления соединения по протоколу TCP? Что нужно
помимо сокетов?
3. Сколько сокетов необходимо для установления соединения по протоколу UDP? Что нужно
помимо сокетов?
4. Порты TCP и UDP пересекаются. Утверждение правдиво или ложно?
5. В каких цепочках нет Firewall Filter?
6. В какой цепочке будет фильтроваться трафик загрузки torrent-клиентом?
7. В качестве условия в правиле можно одновременно указать две цепочки. Правило сработает
если будет совпадение хотя бы по одной цепочке. Утверждение правдиво или ложно?
8. Терминирующий тип действия – это значит, что пакет будет удален. Утверждение правдиво
или ложно?
9. Опишите специфику вкладки “Extra” при настройке через графический интерфейс.
10. Для параметра “Source Port” может быть указано такое перечисление: 80,443,3389-4000.
Утверждение правдиво или ложно?
11. Для параметра “Source Address” может быть указано такое перечисление: 192.168.90/24,
192.168.88.1-192.168.88.100. Утверждение правдиво или ложно?
12. Пользовательскую цепочку можно указать только при условии, что правило будет
терминирующим. Утверждение правдиво или ложно?
13. В случае совпадения всех условий в правиле обработка в файрволе заканчивается при
условии, что действие терминирующее. Утверждение правдиво или ложно?
14. Действия “Add Source to Address List” и “Add Destination to Address List” являются не
терминирующими. Утверждение правдиво или ложно?
15. В каком случае считается, что должно быть выполнено действие, указанное в правиле.

Контрольные вопросы №2
1. В чем измеряется производительность маршрутизатора?
2. На маршрутизатор запущен ping. Через какое количество правил пройдет первый пакет? Через
какое количество правил пройдет второй и последующие пакеты?

/ip firewall filter

add action=accept chain=input comment="accept established, related" connection-


state=established,related

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=accept chain=input comment="accept ICMP" connection-state=new protocol=icmp

add action=accept chain=input comment="accept SNMP" connection-state=new dst-port=161


protocol=udp src-address=5.35.120.160

add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp

3. Через какое стандартное правило должна проходить основная масса трафика?


4. Какой тип брандмауэра более безопасный нормально открытый или нормально закрытый?
5. Корректна ли замена первых двух правил:

add action=accept chain=input comment="accept established, related" connection-


state=established,related

add action=drop chain=input comment="drop invalid" connection-state=invalid


Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 5 из 25
на одно правило:

add action=drop chain=input connection-state=!invalid

6. Корректна ли замена правила:

add action=accept chain=input comment="accept established, related" connection-


state=established,related

на правило:

add action=accept chain=input connection-state=!invalid

7. Можно ли располагать правила разных цепочек вперемешку? Пример:


 Правило для Output.
 Правило для Input.
 Правило для Input.
 Правило для Output.
 Правило для Forward.
 Правило для Input.
8. Сколько правил минимально надо для того, чтобы заблокировать трафик из основной сети в
гостевую и обратно.
9. Контроллер домена рекомендуется располагать в DMZ. Утверждение правдиво или ложно?
10. Почтовый сервер рекомендуется располагать в DMZ. Утверждение правдиво или ложно?
11. Есть ли ошибка в конфигурации для гостевой сети?

add action=drop chain=input src-address=172.18.0.0/24 dst-address-192.168.0.0/24

12. Есть ли ошибка в конфигурации для гостевой сети?

add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-


interface=ether3-Guest

add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-


interface=ether2-LAN

13. Есть ли ошибка в конфигурации для DMZ?

add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-


interface=ether2-LAN

add action=drop chain=forward comment="Drop Guest => DMZ" in-interface= ether4-DMZ out-
interface= ether1-WAN

add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-


interface=ether3-Guest

14. С помощью правила add action=drop chain=forward src-address=!192.168.145.0/24 системный


администратор решил запретить любой forward-трафик кроме, как из LAN. В зоне LAN пропал
Интернет.

Что нужно сделать чтобы задача выполнилась?

/ip address
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 6 из 25
add address=192.168.1.154/24 interface=ether1-WAN network=192.168.1.0

add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0

add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0

add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0

/ip dns

set allow-remote-requests=yes servers=8.8.8.8

/ip firewall filter

add action=drop chain=forward src-address=!192.168.145.0/24

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1-WAN

/ip route

add distance=1 gateway=192.168.1.1

15. Что необходим сделать для того, чтобы учитывать forward-трафик только из разрешенной
сети?

/ip firewall filter

add chain=input action=accept protocol=udp in-interface=ether1-WAN dst-port=500,1701,4500

add chain=input action=drop protocol=tcp in-interface=ether1-WAN dst-port=!22,8291

add chain=forward action=passthrough

add chain=forward action=drop src-address=!192.168.145.0/24 out-interface=ether1-WAN

16. Имеем конфигурацию:

/ip address

add address=192.168.1.154/24 interface=ether1-WAN network=192.168.1.0

add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0

add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0

add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0

Необходимо заблокировать доступ между сетями LAN и Guest в обе стороны. В каком из
представленных двух вариантов пакеты с абсолютно всех адресов сети LAN перестанут ходить к
абсолютно всем адресам сети Guest?

Вариант №1:

/ip firewall filter

add action=accept chain=input comment="accept est&rel" connection-state=established,related

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=accept chain=input comment="accept icmp" protocol=icmp

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 7 из 25
add action=accept chain=input comment="accept ssh" dst-port=22 protocol=tcp

add action=accept chain=input comment="accept winbox" dst-port=8291 protocol=tcp

add action=accept chain=input comment="accept all dns-queries from not WAN" dst-port=53 in-
interface=!ether1-WAN protocol=udp

add action=drop chain=input comment="drop all that is not from LAN" in-interface=!ether2-LAN

add action=accept chain=forward comment="accepr est&rel" connection-state=established,related

add action=drop chain=forward comment="drop all invalid" connection-state=invalid

add action=drop chain=forward comment="drop LAN to Guest" dst-address=10.11.145.0/24 src-


address=192.168.145.0/24

add action=drop chain=forward comment="drop Guest to LAN" dst-address=192.168.145.0/24 src-


address=10.11.145.0/24

add action=drop chain=forward comment="drop all if not dst-nat state" connection-nat-state=!dstnat


in-interface=ether1-WAN

Вариант №2:

/ip firewall filter

add action=accept chain=input comment="accept est&rel" connection-state=established,related

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=accept chain=input comment="accept icmp" protocol=icmp

add action=accept chain=input comment="accept ssh" dst-port=22 protocol=tcp

add action=accept chain=input comment="accept winbox" dst-port=8291 protocol=tcp

add action=accept chain=input comment="accept all dns-queries from not WAN" dst-port=53 in-
interface=!ether1-WAN protocol=udp

add action=drop chain=input comment="drop all that is not from LAN" in-interface=!ether2-LAN

add action=accept chain=forward comment="accepr est&rel" connection-state=established,related

add action=drop chain=forward comment="drop all invalid" connection-state=invalid

add action=drop chain=forward comment="drop LAN to Guest" in-interface=ether2-LAN out-


interface=ether3-Guest

add action=drop chain=forward comment="drop Guest to LAN" in-interface=ether3-Guest out-


interface=ether2-LAN

add action=drop chain=forward comment="drop all if not dst-nat state" connection-nat-state=!dstnat


in-interface=ether1-WAN

17. Объясните почему в приведенной конфигурации, если запустить ping из локальной сети в DMZ
на него придет ответ, несмотря на то, что есть правило, которое запрещает прохождение
трафика из DMZ в LAN.

/ip firewall filter

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 8 из 25
add action=accept chain=forward comment="Accept established & related" connection-
state=established,related

add action=drop chain=forward comment="Drop invalid" connection-state=invalid

add action=drop chain=forward comment="Drop all from WAN not DST-NAT'ed" connection-nat-
state=!dstnat in-interface=ether1-WAN

add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-


interface=ether3-Guest

add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-


interface=ether2-LAN

add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-


interface=ether2-LAN

add action=drop chain=forward comment="Drop Guest => DMZ" in-interface=ether3-Guest out-


interface=ether4-DMZ

add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-


interface=ether3-Guest

Контрольные вопросы №3
1. В правилах файрвола можно сослаться на список адресов, который еще не существует.
Утверждение правдиво или ложно?
2. Есть ли ошибка в конфигурации для доступа к SSH после перебора портов?

add action=add-src-to-address-list address-list=ssh-1 address-list-timeout=1m chain=input


comment="SSH connection 1" dst-port=22 in-interface=!ether2-LAN protocol=tcp

add action=add-src-to-address-list address-list=ssh-2 address-list-timeout=1m chain=input


comment="SSH connection2" dst-port=22 protocol=tcp src-address-list=ssh-1

add action=add-src-to-address-list address-list="black-list ssh" address-list-timeout=1h chain=input


comment="SSH connection 3" dst-port= 22 protocol=tcp src-address-list=ssh-2

add action=drop chain=input comment="Drop black-list SSH" src-address-list="black-list ssh"

3. Какие цепочки необходимо защищать с помощью правила с условием connection-limit?


4. Есть ли в конфигурации ошибка?

add action=drop chain=output connection-limit=100,32

5. Есть ли в конфигурации ошибка?

add action=drop chain=input connection-limit=100,32

6. С помощью какого сервиса можно определить владельца IP-адреса в Интернет?


7. В каком случае сработает правило перенаправления в пользовательскую цепочку?

add action=jump chain=forward in-interface=ether1-WAN jump-target=detect-icmp protocol=tcp


port=3389

8. Что произойдет с пакетом, когда он дойдет до последнего правила в пользовательской


цепочке и у него не будет совпадения с этим правилом?

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 9 из 25
Контрольные вопросы №4
1. Использование RAW-filter позволяет снизить нагрузку на ЦП при DoS атаках. Утверждение
правдиво или ложно?
2. Правила в RAW-filter рекомендуется использовать вместе с условием connection-state=new, т.
к. это помогает снизить нагрузку на процессор. Утверждение правдиво или ложно.
3. Администратор решил увеличить производительность сети с помощью FastTrack. Правильно
ли выполнена настройка?

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24 connection-state=new
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=fasttrack-connection chain=forward connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
4. Администратор решил увеличить производительность сети с помощью FastTrack. Правильно
ли выполнена настройка?

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24 connection-state=new
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=fasttrack-connection chain=forward connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
5. В локальной сети нет Интернета. Найдите ошибку:

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 10 из 25
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-WAN1
add action=dst-nat chain=dstnat comment=www dst-port=80 in-interface=ether10-WAN1
protocol=tcp to-addresses=192.168.0.52 to-ports=80
add action=dst-nat chain=dstnat comment="DVR for mobile devices" in-interface=ether10-WAN1
dst-port=5800 protocol=tcp to-addresses=192.168.0.52 to-ports=5800

6. В локальной сети нет Интернета. Найдите ошибку:

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
/ip firewall nat
add action=dst-nat chain=dstnat comment=www dst-port=80 in-interface=ether10-WAN1
protocol=tcp to-addresses=192.168.0.52 to-ports=80
add action=dst-nat chain=dstnat comment="DVR for mobile devices" in-interface=ether10-WAN1
dst-port=5800 protocol=tcp to-addresses=192.168.0.52 to-ports=5800

7. В локальной сети нет Интернета. Найдите ошибку:

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 11 из 25
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-WAN1
add action=dst-nat chain=dstnat comment=www dst-port=80 protocol=tcp to-
addresses=192.168.0.52 to-ports=80
add action=dst-nat chain=dstnat comment="DVR for mobile devices" in-interface=ether10-WAN1
dst-port=5800 protocol=tcp to-addresses=192.168.0.52 to-ports=5800

8. Что изменится, если из конфигурации удалить строку, выделенную бордовым цветом?

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=accept chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
9. Что изменится, если из конфигурации удалить строку, выделенную бордовым цветом?

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
10. Что изменится, если добавить код, выделенный бордовым цветом?

/ip firewall filter


add action=accept chain=input comment="accept established, related" connection-
state=established
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24 connection-state=new
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 12 из 25
add action=accept chain=forward comment="accept established, related" connection-
state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
NAT
Контрольные вопросы №1
1. “redirect” является частным случаем “dst-nat”. Может ли так получиться, что правило
перенаправляющее весь DNS трафик на маршрутизатор разрешит и DNS атаки извне, т. к. Есть
правило делающее исключение для dst-nat трафик?

/ip firewall filter

add action=drop chain=forward comment="Drop everything from WAN not DST-NAT'ed"


connection-nat-state=!dstnat in-interface=ether1-WAN

2. Логический блок “Dst-NAT” находится до принятия решения о маршрутизации по схеме


прохождения трафика. Утверждение правдиво или ложно?

3. Найдите ошибку в конфигурации:

add action=src-nat chain=dstnat comment=NAT dst-address=!192.168.165.0/24 out-interface=ether1-


WAN to-addresses=172.18.0.150

4. Destination NAT предназначен для проброса портов. Утверждение правдиво или ложно?

Контрольные вопросы №2
1. В каких случаях надо использовать action=masquerade?

2. Логический блок “Src-NAT” находится до принятия решения о маршрутизации по схеме


прохождения трафика. Утверждение правдиво или ложно?

3. Правильно ли настроено правило «классического» NAT?

add action=src-nat chain=srcnat to-addresses=192.168.1.1 comment=NAT

4. В локальной сети расположен веб-сервер. У сотрудников есть к нему доступ по внутреннему


IP-адресу, но нет доступа по внешнему. С чем это может быть связано?

5. Правильно ли настроено правило Hairpin NAT?

add action=src-nat chain=srcnat dst-address=172.16.129.0/24 src-address=172.16.129.0/24 to-


address=172.18.0.150

Задача
ВАЖНО: задача сложная. Вся необходимая для решения информация есть в курсе. Ответ на эту
задачу находит очень мало слушателей. Но даже те, кто не смогли найти правильный ответ, но
потратили на ее решение хотя бы несколько часов потом говорят, что стали понимать NAT и схему
прохождения трафика намного лучше.

Настоятельно рекомендую потратить время на решение этой задачи.

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 13 из 25
Схема подключения
SSTP VPN site-to-site

GW1
ИНТЕРНЕТ GW2
PC01
WWW1

PC02

 GW1 – маршрутизатор SSTP-клиент


 GW2 – маршрутизатор SSTP-сервер
 PC01 – компьютер в сети GW1
 PC02 – произвольный компьютер в сети Интернет

Условие
Это теоретическая задача, на которую надо найти ответ. Настраивать ничего не надо.

На маршрутизаторе GW2 настроен SSTP-сервер, который доступен по 443 TCP порту. Так же сделан
проброс 443-го TCP порта до веб-сервера WWW1.

Задача
Необходимо сделать так, чтобы, когда будет происходить подключение от маршрутизатора GW1
было подключение SSTP VPN. Во всех остальных случаях должно срабатывать правило проброса
порта. Т. е., если к GW1 обратится PC01 или PC02 должен сработать проброс портов. Номер порта,
по которому работает SSTP-сервер или подключается SSTP-клиент изменять нельзя. Т. е. запрос в
обоих случаях должен прийти на 443-ий порт.

Mangle
1. Правильно ли выполнена маркировка?

add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-


state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp

add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 new-packet-


mark=ping-1 packet-mark=no-mark passthrough=no

2. Правильно ли выполнена маркировка?

add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-


state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp

add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 connection-


state=new new-packet-mark=ping-1 packet-mark=no-mark passthrough=no

3. Правильно ли выполнена маркировка?

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 14 из 25
add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-
state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp

add action=mark-packet chain=prerouting comment=ICMP connection-mark=png-1 new-packet-


mark=ping-1 packet-mark=no-mark passthrough=no

4. Правильно ли выполнена маркировка для того, чтобы маркировать ICMP-трафик, исходящий


из маршрутизатора? 10.12.14.16 – это адрес внешнего интерфейса маршрутизатора.

add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark new-


connection-mark=ping-1 passthrough=yes protocol=icmp src-address=10.12.14.16

add action=mark-packet chain=output comment=ICMP connection-mark=ping-1 new-packet-mark=ping-


1 packet-mark=no-mark passthrough=no

5. Правильно ли выполнена маркировка?

add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-


state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp

add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 new-packet-


mark=ping-1 packet-mark=no-mark passthrough=no

6. Правильно ли выполнена маркировка для того, чтобы промаркировать трафик, проходящий


через маршрутизатор?

add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-


state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp

add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 new-packet-


mark=ping-1 packet-mark=no-mark passthrough=no

Модуль 3. QoS
Контрольные вопросы №1
1. В какой цепочке находится логический блок QoS?
2. В каком типе деревьев больше настроек? В “Queue Tree” или в “Simple Queue”?
3. В каком виде очередей возможен графический просмотр прохождения трафика?
4. В каком типе деревьев не возможна настройка без указания маркировки? В “Queue Tree” или
в “Simple Queue”?
5. В каких цепочках есть “Simple Queue”?
6. Какое ограничение на количество дочерних правил у “Queue Tree Interface”?
7. Какое ограничение на количество дочерних правил у “Queue Tree Global”?
8. Что будет делать приведенное ниже правило?

/queue simple
add max-limit=20M name=WAN parent=ether1-WAN

9. Каким образом можно привязать одну очередь включая родительские сразу ко всем
интерфейсам?
10. Какой тип очереди не обходится с помощью FastTrack?
11. К какому типу трафика (исходящему или входящему) будет применяться правило в “Queue
Tree Interface”?

Контрольные вопросы №2
1. Что сделает такое правило?

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 15 из 25
add max-limit=20M name=LAN parent=ether2-LAN

add burst-limit=15M burst-threshold=8M burst-time=10s limit-at=2M max-limit=10M name="LAN -


staff" packet-mark=467 parent=LAN

2. Правильно ли составлены правила?

add max-limit=20M name=LAN parent=ether2-LAN

add burst-limit=15M burst-threshold=12M burst-time=10s limit-at=2M max-limit=10M name="LAN -


staff" packet-mark=users parent=LAN

Контрольные вопросы. Расчеты в HTB – 1


Практика показывает, что в начале изучения расчетов лучше рисовать дерево для улучшения
восприятия. В таком случае количество ошибок снижается.

1. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=10M
name=C parent=A max-limit=10M

2. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=10M limit-at=5M
name=C parent=A max-limit=10M limit-at=5M

3. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=10M limit-at=4M
name=C parent=A max-limit=10M limit-at=6M

4. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=15M limit-at=4M
name=C parent=A max-limit=15M limit-at=6M

5. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=5M limit-at=4M
name=C parent=A max-limit=15M limit-at=6M

6. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=32M
name=B parent=A max-limit=20M limit-at=4M
name=C parent=A max-limit=22M limit-at=10M

7. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=18M
name=B parent=A max-limit=6M limit-at=4M
name=C parent=A max-limit=15M limit-at=6M

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 16 из 25
Контрольные вопросы. Расчеты в HTB – 2
1. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=14M
name=B parent=A max-limit=7M priority=7
name=C parent=A max-limit=7M priority=8

2. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=14M
name=B parent=A max-limit=10M priority=7
name=C parent=A max-limit=7M priority=8

3. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=35M
name=B parent=A max-limit=25M priority=7
name=C parent=A max-limit=15M limit-at=10M priority=8

4. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=12M priority=7
name=C parent=A max-limit=12M limit-at=10M priority=8

5. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=100M
name=B parent=A max-limit=75M
name=C parent=A max-limit=25M
name=D parent=B max-limit=50M
name=E parent=B max-limit=25M

6. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=100M
name=B parent=A max-limit=75M
name=C parent=A max-limit=25M priority=6
name=D parent=B max-limit=50M priority=8
name=E parent=B max-limit=25M priority=7

7. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=31M
name=B parent=A max-limit=31M
name=C parent=A max-limit=20M limit-at=5M priority=8
name=D parent=B max-limit=22M priority=8
name=E parent=B max-limit=22M priority=7

8. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=20M limit-at=10M priority=5
name=C parent=A max-limit=10M limit-at=5M priority=6
name=D parent=B max-limit=20M limit-at=5M priority=7
name=E parent=B max-limit=20M limit-at=5M priority=8
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 17 из 25
9. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=20M limit-at=10M priority=5
name=C parent=A max-limit=10M limit-at=5M priority=6
name=D parent=B max-limit=20M priority=7
name=E parent=B max-limit=20M limit-at=5M priority=8

10. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=20M limit-at=10M priority=5
name=C parent=A max-limit=7M limit-at=5M priority=6
name=D parent=B max-limit=20M priority=7
name=E parent=B max-limit=20M limit-at=10M priority=8

11. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=20M limit-at=10M priority=5
name=C parent=A max-limit=7M limit-at=5M priority=6
name=D parent=B max-limit=20M priority=7
name=E parent=B max-limit=20M priority=8

12. 7 Какой объем трафика достанется каждому leaf’у?

name=A max-limit=20M
name=B parent=A max-limit=20M limit-at=10M priority=5
name=C parent=A max-limit=7M limit-at=5M priority=6
name=D parent=B max-limit=20M priority=7
name=E parent=B max-limit=20M limit-at=4M priority=8

Контрольные вопросы. Расчеты в HTB – 3


1. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=100M
name=B parent=A max-limit=50M
name=C parent=A max-limit=50M
name=D parent=B max-limit=25M
name=E parent=B max-limit=25M
name=F parent=C max-limit=25M
name=G parent=C max-limit=25M

2. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=44M
name=B parent=A max-limit=40M
name=C parent=A max-limit=40M
name=D parent=B max-limit=20M limit-at=5M
name=E parent=B max-limit=20M limit-at=7M
name=F parent=C max-limit=20M limit-at=8M
name=G parent=C max-limit=20M

3. Какой объем трафика достанется каждому leaf’у?

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 18 из 25
name=A max-limit=44M
name=B parent=A max-limit=40M
name=C parent=A max-limit=40M
name=D parent=B max-limit=20M limit-at=5M
name=E parent=B max-limit=20M limit-at=7M
name=F parent=C max-limit=20M limit-at=8M
name=G parent=C max-limit=20M priority=7

4. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=44M
name=B parent=A max-limit=40M priority=5
name=C parent=A max-limit=40M priority=6
name=D parent=B max-limit=20M limit-at=5M
name=E parent=B max-limit=20M limit-at=7M priority=8
name=F parent=C max-limit=20M limit-at=8M priority=8
name=G parent=C max-limit=20M priority=7

5. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=62M
name=B parent=A max-limit=40M
name=C parent=A max-limit=40M priority=6
name=D parent=B max-limit=30M limit-at=4M
name=E parent=B max-limit=20M limit-at=4M priority=8
name=F parent=C max-limit=40M limit-at=4M
name=G parent=C max-limit=10M priority=7

6. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=30M
name=B parent=A max-limit=30M
name=C parent=A max-limit=30M
name=D parent=B max-limit=30M limit-at=2M
name=E parent=B max-limit=30M limit-at=3M
name=F parent=C max-limit=30M limit-at=4M
name=G parent=C max-limit=30M priority=7

7. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=30M
name=B parent=A max-limit=20M
name=C parent=A max-limit=20M
name=D parent=B max-limit=20M limit-at=2M
name=E parent=B max-limit=20M limit-at=3M
name=F parent=C max-limit=20M limit-at=4M
name=G parent=C max-limit=20M priority=7

8. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=35M
name=B parent=A max-limit=20M
name=C parent=A max-limit=25M
name=D parent=B max-limit=15M limit-at=2M priority=6
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 19 из 25
name=E parent=B max-limit=15M limit-at=3M priority=6
name=F parent=C max-limit=15M limit-at=4M priority=7
name=G parent=C max-limit=15M priority=8

9. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=120M
name=B parent=A max-limit=70M limit-at=30M priority=8
name=C parent=A max-limit=60M limit-at=35M priority=8
name=D parent=B max-limit=35M limit-at=14M priority=6
name=E parent=B max-limit=35M limit-at=15M priority=6
name=F parent=C max-limit=25M limit-at=16M priority=7
name=G parent=C max-limit=35M limit-at=17M priority=8

10. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=96M
name=B parent=A max-limit=50M limit-at=30M priority=5
name=C parent=A max-limit=50M limit-at=30M priority=4
name=D parent=B max-limit=35M limit-at=10M priority=6
name=E parent=B max-limit=25M limit-at=10M priority=7
name=F parent=C max-limit=35M limit-at=10M priority=6
name=G parent=C max-limit=25M limit-at=10M priority=8

11. Какой объем трафика достанется каждому leaf’у?

name=A max-limit=96M
name=B parent=A max-limit=50M limit-at=30M priority=5
name=C parent=A max-limit=50M limit-at=30M priority=4
name=D parent=B max-limit=35M limit-at=10M priority=6
name=E parent=B max-limit=25M limit-at=10M priority=7
name=F parent=C max-limit=35M limit-at=10M priority=8
name=G parent=C max-limit=25M limit-at=10M priority=6

Найдите неточность
Созданная конфигурация содержит неточность, которая в некоторых случаях может привести к
некорректной работе правил. Найдите ее и предложите свои варианты решения.

Ответы
Модуль 1. Схема прохождения трафика
1. Input Interface и Local Process IN.
2. Input Interface => Prerouting => Routing Decision => Forward => Postrouting => Output Interface.
3. Input Interface => Prerouting => Routing Decision => Input => Local Process IN.
4. Local Process Out => Routing Decision => Output => Postrouting => Output Interface.
5. За количество маршрутизаторов через которые может пройти пакет отвечает поле TTL в IP-
заголовке. Значение этого поля уменьшается в объекте “TTL=TTL-1” в цепочке “Forward”.
6. Возможность маркировки пакетов есть в каждой из пяти цепочек.
7. RAW Prerouting и RAW Output.
8. Отслеживание соединений происходит в объекте “Connection Tracking”. Этот объект есть в
двух цепочках: Prerouting и Output.
9. Утверждение правдиво.
10. Утверждение ложно.
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 20 из 25
11. Цепочки идут в том количестве и порядке, как это заложено разработчиками. Вопрос почему
они стоят в том или ином порядке или почему нет, какой-то еще одной цепочки не применим.
Схема расположения трафика такая какая есть. А инженер, когда пишет конфигурацию должен
это учитывать.
12. Routing Decision.
13. Во время ping-запроса: Output и Postrouting, а во время ping-ответа: Prerouting и Input.

Модуль 2. Брандмауэр
Отслеживание соединений
1. Утверждение правдиво.
2. Established.
3. Есть 2 способа миновать Connection Tracker:
 Отключить Connection Tracker.
 В /ip firewall raw для соединения необходимо указать action=notrack.
4. Утверждение правдиво.
5. Нет, во время удаления соединения происходит только его разрыв.
6. Нет, т. к. Connection tracker предназначен для отслеживания трафика, а не для манипуляций с
ним.
7. Нет, ответа не будет, т. к. правило запретит прохождение “new” пакетов без которых не
получится установить соединение.
8. С помощью SMB получится, а с помощью FTP в пассивном режиме нет, т. к. для последнего
требуется установление related соединения, которое запрещено.
9. Новые подключение к маршрутизатору с помощью WinBox (порт 8291) будут запрещены.

Фильтр
Контрольные вопросы №1
1. IP-адрес и номер порта.
2. Два сокета. Т. е. нужны IP-адрес и порт источника и IP-адрес, и порт назначения. Помимо
сокетов нужен протокол.
3. Два сокета. Т. е. нужны IP-адрес и порт источника и IP-адрес, и порт назначения. Помимо
сокетов нужен протокол.
4. Утверждение ложно. Например, порт может 53 UDP и 53 TCP.
5. Prerouting и Postrouting.
6. Forward.
7. Утверждение ложно. В правиле можно указать только одну цепочку.
8. Утверждение ложно. Терминирующее действие – значит, что после этого действия обработка
пакета в файрволе прекратится. Но при этом само действие может быть, как разрешающим,
так и запрещающим.
9. Для того, чтобы активировать правило на вкладке “Extra” достаточно его просто раздвинуть.
10. Утверждение правдиво.
11. Утверждение ложно. Формат записи: 192.168.90/24 невозможен. Можно так: 192.168.90.0/24.
12. Утверждение ложно.
13. Утверждение правдиво.
14. Утверждение правдиво.
15. Указанное в правиле действие будет выполнено только в случае совпадения всех условий,
указанных в этом правиле.

Контрольные вопросы №2
1. Пакеты в секунду или биты в секунду.
2. Первый пакет пройдет через три правила, а второй и последующие через одно.
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 21 из 25
3. разрешить “established” и “related” траффик.
4. Нормально закрытый тип файрвола более безопасный, т. к. он исключает большее количество
потенциальных угроз. В реальной жизни невозможно перечислить все потенциальные угрозы
для нормально открытого файрвола. И даже, если бы это получилось, то прохождение пакетов
через такой объем правил плохо бы сказалось на производительности маршрутизатора.
5. Нет, не корректна. Т. к. в этом случае будут отбрасываться все пакеты с состояниями: new,
established и related.
6. Нет, не корректна. Т. к. правило будет разрешать не только established и related трафик, но и
new трафик. В случае, если такое правило будет стоять первым, то на нем будет заканчиваться
обработка основной массы трафика и файрвол будет являться нормально открытым.
7. Да, можно, но такое расположение правил затрудняет чтение конфигурации, т. к. она
становится очень запутанной. Рекомендуется правила одной цепочки располагать друг за
другом.
8. Достаточно одного правила.
9. Утверждение ложно. Контроллер домена не должен быть общедоступным сервисом.
10. Утверждение правдиво. Почтовым сервисом в 99% случаев надо пользоваться изнутри
компании и снаружи.
11. Да, есть. Должна быть выбрана цепочка “forward” вместо “input”.
12. Ошибки нет.
13. Ошибка есть во втором правиле, которое блокирует трафик из DMZ в WAN. За счет него
получится так, что из DMZ не получится выйти в Интернет.
14. Интернет пропал потому, что любой ответ на запрос из локальной сети имеет адрес источника
отличный от 192.168.145.0/24. Из-за этого все ответные пакеты отбрасываются и как результат
нет Интернета. Возможные решения:
I. Отбрасывать только новые пакеты add action=drop chain=forward src-
address=!192.168.145.0/24 connection-state=new .
II. Добавить исходящий интерфейс add action=drop chain=forward src-
address=!192.168.145.0/24 out-interface=ether1-WAN .

15. Необходимо поменять местами эти правила:


add chain=forward action=passthrough

add chain=forward action=drop src-address=!192.168.145.0/24 out-interface=ether1-WAN

16. В обоих случаях произойдет полная блокировка трафика из локальной сети в гостевую кроме
адресов шлюзов из обеих сетей. Так как эти адреса присвоены интерфейсам роутера то, в
данном случае, когда ограничений на цепочку input нет, в обоих вариантах пакеты со всех
адресов из локальной сети ходить до адреса шлюза из гостевой сети и наоборот, будут.
17. Когда будет запущен ping запрос он пройдет в DMZ, т. к. для него нет запрета, а ответ будет
обработан самым первым правилом, которое разрешает established и related трафик. Таким
образом трафик даже не дойдет до правила, которое запрещает трафик из DMZ в LAN.
Контрольные вопросы №3
1. Утверждение правдиво.
2. Не правильно указан порядок правил. Должно быть:
 SSH connection 3
 SSH connection 2
 SSH connection 1
 Drop black-list SSH
3. Input и Forward.
4. Цепочку Output защищать не надо.

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 22 из 25
5. Правило работатьбудет, но надо учитывать, что правила с условием “Connection Limit”
ресурсоемкие. Но:
 их рекомендуется использовать вместе с условиями connection-state=new или с tcp-
flags=syn;
 не указано исключение для белого списка адресов. Из-за этого скорее всего будут
заблокированы доверенные ресурсы.
6. IP Lookup
7. Когда будет подключение по протоколу TCP и порту 3389 (RDP). Судя по всему, комментарий к
правилу был сделан с ошибкой либо остался от старого правила, которое было исправлено на
новое условие?
8. Пакет будет перенаправлен к правилу, которое идет следом за правилом, которое направило
его в пользовательскую цепочку. Если такого правила нет, то пакет перейдет к следующему
логическому блоку по схеме прохождения трафика.

Контрольные вопросы №4
1. Утверждение правдиво. Но RAW-filter не дает значительного снижения.
2. Утверждение ложно. В RAW-filter нельзя использовать условия, связанные с Connection
Tracker, т. к. RAW-filter находится до Connection Tracker по схеме прохождения пакетов.
3. Настройка выполнена неправильно. После установления соединения пакеты будут
обрабатываться на первом правиле и не будут доходить до правила FastTrack. Правило
FastTrack надо поставить первым. Так же надо учитывать, что в случае, когда через Fast Track
будут проходить все пакеты, потеряется большая часть возможностей, которую дает RouterOS.

add action=fasttrack-connection chain=forward connection-state=established,related


add action=accept chain=forward comment="accept established, related" connection-
state=established,related
4. Настройка выполнена неправильно. Правило “FastTrack” должно дублироваться аналогичным
правилом “accept established, related”, т. к. не все пакеты в соединении могут быть обработаны
FastTrack.
5. В конфигурации ошибки нет. Если проблема с Интернетом есть, то не из-за приведенного
кода.
6. В настройках NAT нет правила трансляции адресов:

add action=masquerade chain=srcnat out-interface=ether10-WAN1

7. Для приведенного ниже правила не указан входящий интерфейс. Когда пользователи будут
пытаться выйти в Интернет по 80 порту их будет перенаправлять на внутренний адрес
192.168.0.52.

add action=dst-nat chain=dstnat comment=www dst-port=80 protocol=tcp to-


addresses=192.168.0.52 to-ports=80

8. Ничего не изменится, т. к. в цепочке “Input” все правила разрешающие. Можно удалить их все
и ничего не изменится.
9. Для конечного пользователя не изменится ничего, т. к. это правило служит для снижения
нагрузки на процессор за счет того, что уже установленные соединения будут обрабатываться
сразу на первом правиле.
10. Ничего не изменится, т. к. соединение будет обрабатываться за счет первого правила для
цепочки “Input” после того, как первый пакет соединения будет обработан этим правилом.

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 23 из 25
NAT
Контрольные вопросы №1
1. Нет не может, т. к. в случае “redirect” трафик будет перенаправлен на маршрутизатор, т. е.
действие будет выполнено в цепочке “Input”, а не в цепочке “Forward” как указано в вопросе.
2. Утверждение правдиво.
3. Правило настроено неправильно. Не указан параметр “out-interface”.
4. Утверждение не точно. Destination NAT служит для преобразование адреса и/или порта
назначения. Источник (откуда) и назначение (куда) могут быть где угодно. Проброс портов
является одной из множества функций для которых используется Destination NAT.

Контрольные вопросы №2
1. Когда требуется «классический» NAT и при этом IP-адрес внешнего интерфейса может
изменяться.
2. Утверждение ложно.
3. Действие src-nat не может быть выполнено в цепочке dstnat.
4. Не настроены правила Hairpin NAT.
5. To-address находится в другой сети.

Задача
Ответ на задачу присылайте на support@kursy-po-it.ru .

Mangle
1. Да, маркировка выполнена правильно.
2. Маркировка выполнена неправильно. В правиле маркировки пакетов используется “
connection-state=new” из-за этого условия будет промаркирован только первый пакет
соединения.
3. Маркировка выполнена с ошибкой. Скорее всего это опечатка. В правиле маркировки
соединений используется маркер ping-1, а в правиле маркировки пакетов для идентификации
соединения используется png-1.
4. Маркировка выполнена с ошибкой. В первом правиле в цепочке Prerouting указан внешний
адрес маршрутизатора. Когда маршрутизатор является инициатором трафика трафик из
маршрутизатора идет по пути Output => Postrouting и не проходит через цепочку Prerouting.
Через Prerouting проходит ответ на этот запрос, но в этом ответе уже будет указан другой
источник.
5. Да, маркировка выполнена правильно.
6. Да.

Модуль 3. QoS
Контрольные вопросы №1
1. Логического блока QoS не существует. QoS это набор техник, которые используются для
приоритезации трафика и ограничении скорости. При этом для маркировки используются
логические блоки “Mangle”, а для приоритезации “Queue Tree Globa”, “Queue Tree Interface” и
“Simple Queues”.
2. В “Simple Queue” настроек больше.
3. В “Simple Queue”.
4. В “Queue Tree”.
5. “Input” и “Postrouting”.
6. Ограничение отсутствует.
7. Ограничение отсутствует.
8. Установит ограничение скорости выгрузки в Интернет без привязки откуда (LAN, WAN, DMZ и т.
д.). Правило является родительским, т. к. не указано условие маркировки.
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф
Страница 24 из 25
9. Использовать “Queue Tree Global”.
10. Queue Tree Interface.
11. К трафику, исходящему из интерфейса.
12.

Контрольные вопросы №2
1. Для трафика с маркировкой “users” будет установлено максимальная скорость загрузки 10
Мб/с. При этом будет разрешено кратковременное превышение этого значения до 15 Мб/с до
тех пор, пока средняя скорость за последние 10 секунд не станет больше 8 Мб/с.
2. Ошибка есть. Burst-threshold больше чем max-limit.

Контрольные вопросы. Расчеты в HTB – 1


Ваши ответы присылайте на kurator@kursy-po-it.ru .

Контрольные вопросы. Расчеты в HTB – 2


Ваши ответы присылайте на kurator@kursy-po-it.ru .

Контрольные вопросы. Расчеты в HTB – 3


Ваши ответы присылайте на kurator@kursy-po-it.ru .

Найдите неточность
Ваши ответы присылайте на kurator@kursy-po-it.ru .

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф


Страница 25 из 25

Вам также может понравиться