контрольные вопросы

УПРАВЛЕНИЕ ТРАФИКОМ
НА MIKROTIK
контрольные вопросы
Версия 1.03
support@kursy-po-it.ru
Оглавление
Введение ...................................................................................................................................................... 3
Инструкция по использованию .............................................................................................................. 3
Задачи на поиск ошибок в конфигурации ............................................................................................. 3
Вопросы ........................................................................................................................................................ 4
Модуль 1. Схема прохождения трафика ............................................................................................... 4
Модуль 2. Брандмауэр............................................................................................................................ 4
Отслеживание соединений ................................................................................................................ 4
Фильтр .................................................................................................................................................. 5
NAT ......................................................................................................................................................13
Mangle.................................................................................................................................................14
Модуль 3. QoS ........................................................................................................................................15
Контрольные вопросы №1 ...............................................................................................................15
Контрольные вопросы. Расчеты в HTB – 1 .......................................................................................16
Найдите неточность ..........................................................................................................................20
Ответы ........................................................................................................................................................20
Модуль 1. Схема прохождения трафика .............................................................................................20
Модуль 2. Брандмауэр..........................................................................................................................21
Отслеживание соединений ..............................................................................................................21
Фильтр ................................................................................................................................................21
NAT ......................................................................................................................................................24
Mangle.................................................................................................................................................24
Модуль 3. QoS ........................................................................................................................................24
Найдите неточность ..........................................................................................................................25
Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Страница 1 из 25
Введение
Инструкция по использованию
Этот документ состоит из 3 частей:
1. Введение. Вы его сейчас читаете.

2. Вопросы. На них вы должны ответить самостоятельно.
3. Ответы. Свои ответы вы можете сравнить с моими.
Задачи на поиск ошибок в конфигурации

В качестве контрольных вопросов иногда будут встречаться задачи, в которых надо будет найти
ошибку в конфигурации. Условие всегда будет звучать так: «Найдите ошибки в конфигурации».
При этом ошибка может быть одна, а может быть и больше. Так же ошибок может и не быть
вообще. Исходно считается, что конфигурация изначально писалась человеком, а не делалась с
помощью выгрузки с маршрутизатора. Поэтому в ней возможны опечатки, которые так же надо
найти. Это сделано специально, чтобы тренировать внимательность.

Вопросы
Модуль 1. Схема прохождения трафика
1. Назовите возможные точки входа.
2. Назовите объекты, через которые проходит трафик, когда сотрудник переходит на сайт
yandex.ru?
3. Запущен ping до маршрутизатора. Назовите объекты, через которые проходит трафик?
4. Инженер решил проверить с маршрутизатора доступность узла 8.8.8.8 и запустил до него ping.
Назовите объекты, через которые проходит трафик?
5. При маршрутизации пакета уменьшается количество маршрутизаторов, через которые в
дальнейшем пакет мог бы пройти. Назовите цепочку и объект, в котором это происходит.
6. В какой из цепочек отсутствует возможность маркировки пакета?
7. Какие объекты служат для снижения нагрузки на маршрутизатор в случае DoS атаки?
8. В каком объекте и в какой из цепочек происходит отслеживание соединений?
9. Input Interface может быть и физическим и виртуальным портом. Утверждение правдиво или
ложно?
10. Output Interface обязательно должен быть физическим портом. Утверждение правдиво или
ложно?
11. Почему после “Input Interface” есть “Prerouting”, а после “Local Process Out” нет?
12. Какой объект присутствует при абсолютно любом движении трафика?
13. Какие цепочки используются, если запустить ping с маршрутизатора до 8.8.8.8?
Модуль 2. Брандмауэр
Отслеживание соединений
1. Connection State не совпадает с TCP state. Утверждение правдиво или ложно?
2. Как называется соединение, которое является обязательным до создания “related”
соединения.
3. Есть ли способы миновать Connection Tracker? Если есть то, что для этого требуется?
4. В Connection Tracker можно увидеть маркировку соединения. Утверждение правдиво или
ложно?
5. При удалении соединения в Connection Tracker происходит ли запрет на восстановление
удаляемых соединений в последующем?
6. Можно ли в Connection Tracker запретить промаркированный трафик?
7. Приведенное ниже правило стоит первым в списке. Будет ли в таком случае ответ на ping
запрос до маршрутизатора?
add action=drop chain=input connection-state=!established,related
8. Можно ли будет при наличии соответствующих пробросов портов при таком правиле
скачивать данные с локальной сети с помощью протокола SMB (расшаренная сетевая папка) и
с помощью FTP в пассивном режиме?
add action=drop chain=forward connection-state=invalid,related in-interface=ether1-WAN
9. Что произойдёт если два последних правила поменять местами?
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
add chain=input action=accept connection-state=established,new protocol=tcp dst-port=8291
add chain=input action=drop connection-state=new protocol=tcp dst-port=8291

Фильтр
Контрольные вопросы №1
1. Какая информация содержится в сокете?
2. Сколько сокетов необходимо для установления соединения по протоколу TCP? Что нужно
помимо сокетов?
3. Сколько сокетов необходимо для установления соединения по протоколу UDP? Что нужно
помимо сокетов?
4. Порты TCP и UDP пересекаются. Утверждение правдиво или ложно?
5. В каких цепочках нет Firewall Filter?
6. В какой цепочке будет фильтроваться трафик загрузки torrent-клиентом?
7. В качестве условия в правиле можно одновременно указать две цепочки. Правило сработает
если будет совпадение хотя бы по одной цепочке. Утверждение правдиво или ложно?
8. Терминирующий тип действия – это значит, что пакет будет удален. Утверждение правдиво
или ложно?
9. Опишите специфику вкладки “Extra” при настройке через графический интерфейс.
10. Для параметра “Source Port” может быть указано такое перечисление: 80,443,3389-4000.
Утверждение правдиво или ложно?
11. Для параметра “Source Address” может быть указано такое перечисление: 192.168.90/24,
192.168.88.1-192.168.88.100. Утверждение правдиво или ложно?
12. Пользовательскую цепочку можно указать только при условии, что правило будет
терминирующим. Утверждение правдиво или ложно?
13. В случае совпадения всех условий в правиле обработка в файрволе заканчивается при
условии, что действие терминирующее. Утверждение правдиво или ложно?
14. Действия “Add Source to Address List” и “Add Destination to Address List” являются не
терминирующими. Утверждение правдиво или ложно?
15. В каком случае считается, что должно быть выполнено действие, указанное в правиле.
1. В чем измеряется производительность маршрутизатора?
2. На маршрутизатор запущен ping. Через какое количество правил пройдет первый пакет? Через
какое количество правил пройдет второй и последующие пакеты?
/ip firewall filter
add action=accept chain=input comment="accept established, related" connection-

state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" connection-state=new protocol=icmp
add action=accept chain=input comment="accept SNMP" connection-state=new dst-port=161

protocol=udp src-address=5.35.120.160
add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp
3. Через какое стандартное правило должна проходить основная масса трафика?

4. Какой тип брандмауэра более безопасный нормально открытый или нормально закрытый?
5. Корректна ли замена первых двух правил:


на одно правило:
add action=drop chain=input connection-state=!invalid
6. Корректна ли замена правила:

на правило:
add action=accept chain=input connection-state=!invalid
7. Можно ли располагать правила разных цепочек вперемешку? Пример:

 Правило для Output.
 Правило для Input.
 Правило для Output.
 Правило для Forward.
8. Сколько правил минимально надо для того, чтобы заблокировать трафик из основной сети в
гостевую и обратно.
9. Контроллер домена рекомендуется располагать в DMZ. Утверждение правдиво или ложно?
10. Почтовый сервер рекомендуется располагать в DMZ. Утверждение правдиво или ложно?
11. Есть ли ошибка в конфигурации для гостевой сети?
add action=drop chain=input src-address=172.18.0.0/24 dst-address-192.168.0.0/24
12. Есть ли ошибка в конфигурации для гостевой сети?
add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-

interface=ether3-Guest
add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-

interface=ether2-LAN
13. Есть ли ошибка в конфигурации для DMZ?
add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-

add action=drop chain=forward comment="Drop Guest => DMZ" in-interface= ether4-DMZ out-
interface= ether1-WAN
add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-

14. С помощью правила add action=drop chain=forward src-address=!192.168.145.0/24 системный

администратор решил запретить любой forward-трафик кроме, как из LAN. В зоне LAN пропал
Интернет.
Что нужно сделать чтобы задача выполнилась?
/ip address
add address=192.168.1.154/24 interface=ether1-WAN network=192.168.1.0
add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0
add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0
add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=forward src-address=!192.168.145.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
/ip route
add distance=1 gateway=192.168.1.1
15. Что необходим сделать для того, чтобы учитывать forward-трафик только из разрешенной
сети?
/ip firewall filter
add chain=input action=accept protocol=udp in-interface=ether1-WAN dst-port=500,1701,4500
add chain=input action=drop protocol=tcp in-interface=ether1-WAN dst-port=!22,8291
add chain=forward action=passthrough
add chain=forward action=drop src-address=!192.168.145.0/24 out-interface=ether1-WAN
16. Имеем конфигурацию:
/ip address
add address=192.168.1.154/24 interface=ether1-WAN network=192.168.1.0
add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0
add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0
add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0
Необходимо заблокировать доступ между сетями LAN и Guest в обе стороны. В каком из
представленных двух вариантов пакеты с абсолютно всех адресов сети LAN перестанут ходить к
абсолютно всем адресам сети Guest?
Вариант №1:
/ip firewall filter
add action=accept chain=input comment="accept est&rel" connection-state=established,related
add action=accept chain=input comment="accept icmp" protocol=icmp

add action=accept chain=input comment="accept ssh" dst-port=22 protocol=tcp
add action=accept chain=input comment="accept winbox" dst-port=8291 protocol=tcp
add action=accept chain=input comment="accept all dns-queries from not WAN" dst-port=53 in-
interface=!ether1-WAN protocol=udp
add action=drop chain=input comment="drop all that is not from LAN" in-interface=!ether2-LAN
add action=accept chain=forward comment="accepr est&rel" connection-state=established,related
add action=drop chain=forward comment="drop all invalid" connection-state=invalid
add action=drop chain=forward comment="drop LAN to Guest" dst-address=10.11.145.0/24 src-

address=192.168.145.0/24
add action=drop chain=forward comment="drop Guest to LAN" dst-address=192.168.145.0/24 src-

address=10.11.145.0/24
add action=drop chain=forward comment="drop all if not dst-nat state" connection-nat-state=!dstnat

in-interface=ether1-WAN
Вариант №2:
/ip firewall filter
add action=accept chain=input comment="accept est&rel" connection-state=established,related
add action=accept chain=input comment="accept icmp" protocol=icmp
add action=accept chain=input comment="accept ssh" dst-port=22 protocol=tcp
add action=accept chain=input comment="accept winbox" dst-port=8291 protocol=tcp
add action=accept chain=input comment="accept all dns-queries from not WAN" dst-port=53 in-
interface=!ether1-WAN protocol=udp
add action=drop chain=input comment="drop all that is not from LAN" in-interface=!ether2-LAN
add action=accept chain=forward comment="accepr est&rel" connection-state=established,related
add action=drop chain=forward comment="drop all invalid" connection-state=invalid
add action=drop chain=forward comment="drop LAN to Guest" in-interface=ether2-LAN out-

add action=drop chain=forward comment="drop Guest to LAN" in-interface=ether3-Guest out-

add action=drop chain=forward comment="drop all if not dst-nat state" connection-nat-state=!dstnat

in-interface=ether1-WAN
17. Объясните почему в приведенной конфигурации, если запустить ping из локальной сети в DMZ
на него придет ответ, несмотря на то, что есть правило, которое запрещает прохождение
трафика из DMZ в LAN.
/ip firewall filter

add action=accept chain=forward comment="Accept established & related" connection-
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DST-NAT'ed" connection-nat-
state=!dstnat in-interface=ether1-WAN
add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-

add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-

add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-

add action=drop chain=forward comment="Drop Guest => DMZ" in-interface=ether3-Guest out-

interface=ether4-DMZ
add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-

1. В правилах файрвола можно сослаться на список адресов, который еще не существует.
Утверждение правдиво или ложно?
2. Есть ли ошибка в конфигурации для доступа к SSH после перебора портов?
add action=add-src-to-address-list address-list=ssh-1 address-list-timeout=1m chain=input

comment="SSH connection 1" dst-port=22 in-interface=!ether2-LAN protocol=tcp
add action=add-src-to-address-list address-list=ssh-2 address-list-timeout=1m chain=input

comment="SSH connection2" dst-port=22 protocol=tcp src-address-list=ssh-1
add action=add-src-to-address-list address-list="black-list ssh" address-list-timeout=1h chain=input

comment="SSH connection 3" dst-port= 22 protocol=tcp src-address-list=ssh-2
add action=drop chain=input comment="Drop black-list SSH" src-address-list="black-list ssh"
3. Какие цепочки необходимо защищать с помощью правила с условием connection-limit?

4. Есть ли в конфигурации ошибка?
add action=drop chain=output connection-limit=100,32
5. Есть ли в конфигурации ошибка?
add action=drop chain=input connection-limit=100,32
6. С помощью какого сервиса можно определить владельца IP-адреса в Интернет?

7. В каком случае сработает правило перенаправления в пользовательскую цепочку?
add action=jump chain=forward in-interface=ether1-WAN jump-target=detect-icmp protocol=tcp

port=3389
8. Что произойдет с пакетом, когда он дойдет до последнего правила в пользовательской

цепочке и у него не будет совпадения с этим правилом?

1. Использование RAW-filter позволяет снизить нагрузку на ЦП при DoS атаках. Утверждение
правдиво или ложно?
2. Правила в RAW-filter рекомендуется использовать вместе с условием connection-state=new, т.
к. это помогает снизить нагрузку на процессор. Утверждение правдиво или ложно.
3. Администратор решил увеличить производительность сети с помощью FastTrack. Правильно
ли выполнена настройка?
/ip firewall filter

add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept SNMP" dst-port=161 protocol=udp src-
address=87.228.39.24 connection-state=new
add action=drop chain=input comment="drop all from not LAN" in-interface=!bridge-local
add action=accept chain=forward comment="accept established, related" connection-
add action=fasttrack-connection chain=forward connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-
state=!dstnat in-interface=ether10-WAN1
4. Администратор решил увеличить производительность сети с помощью FastTrack. Правильно
ли выполнена настройка?
/ip firewall filter

5. В локальной сети нет Интернета. Найдите ошибку:
/ip firewall filter

state=established
address=87.228.39.24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-WAN1
add action=dst-nat chain=dstnat comment=www dst-port=80 in-interface=ether10-WAN1
protocol=tcp to-addresses=192.168.0.52 to-ports=80
add action=dst-nat chain=dstnat comment="DVR for mobile devices" in-interface=ether10-WAN1
dst-port=5800 protocol=tcp to-addresses=192.168.0.52 to-ports=5800
/ip firewall filter

state=established
address=87.228.39.24
/ip firewall nat
add action=dst-nat chain=dstnat comment=www dst-port=80 in-interface=ether10-WAN1
protocol=tcp to-addresses=192.168.0.52 to-ports=80
/ip firewall filter

state=established
address=87.228.39.24

/ip firewall nat
add action=dst-nat chain=dstnat comment=www dst-port=80 protocol=tcp to-
addresses=192.168.0.52 to-ports=80
8. Что изменится, если из конфигурации удалить строку, выделенную бордовым цветом?
/ip firewall filter

state=established
address=87.228.39.24
add action=accept chain=input comment="drop all from not LAN" in-interface=!bridge-local
9. Что изменится, если из конфигурации удалить строку, выделенную бордовым цветом?
/ip firewall filter

state=established
address=87.228.39.24
10. Что изменится, если добавить код, выделенный бордовым цветом?
/ip firewall filter

state=established

NAT
1. “redirect” является частным случаем “dst-nat”. Может ли так получиться, что правило
перенаправляющее весь DNS трафик на маршрутизатор разрешит и DNS атаки извне, т. к. Есть
правило делающее исключение для dst-nat трафик?
/ip firewall filter
add action=drop chain=forward comment="Drop everything from WAN not DST-NAT'ed"

connection-nat-state=!dstnat in-interface=ether1-WAN
2. Логический блок “Dst-NAT” находится до принятия решения о маршрутизации по схеме

прохождения трафика. Утверждение правдиво или ложно?
3. Найдите ошибку в конфигурации:
add action=src-nat chain=dstnat comment=NAT dst-address=!192.168.165.0/24 out-interface=ether1-

WAN to-addresses=172.18.0.150
4. Destination NAT предназначен для проброса портов. Утверждение правдиво или ложно?
1. В каких случаях надо использовать action=masquerade?
2. Логический блок “Src-NAT” находится до принятия решения о маршрутизации по схеме

прохождения трафика. Утверждение правдиво или ложно?
3. Правильно ли настроено правило «классического» NAT?
add action=src-nat chain=srcnat to-addresses=192.168.1.1 comment=NAT
4. В локальной сети расположен веб-сервер. У сотрудников есть к нему доступ по внутреннему

IP-адресу, но нет доступа по внешнему. С чем это может быть связано?
5. Правильно ли настроено правило Hairpin NAT?
add action=src-nat chain=srcnat dst-address=172.16.129.0/24 src-address=172.16.129.0/24 to-

address=172.18.0.150
Задача
ВАЖНО: задача сложная. Вся необходимая для решения информация есть в курсе. Ответ на эту
задачу находит очень мало слушателей. Но даже те, кто не смогли найти правильный ответ, но
потратили на ее решение хотя бы несколько часов потом говорят, что стали понимать NAT и схему
прохождения трафика намного лучше.
Настоятельно рекомендую потратить время на решение этой задачи.

Схема подключения
SSTP VPN site-to-site
GW1
ИНТЕРНЕТ GW2
PC01
WWW1
PC02
 GW1 – маршрутизатор SSTP-клиент

 GW2 – маршрутизатор SSTP-сервер
 PC01 – компьютер в сети GW1
 PC02 – произвольный компьютер в сети Интернет
Условие
Это теоретическая задача, на которую надо найти ответ. Настраивать ничего не надо.
На маршрутизаторе GW2 настроен SSTP-сервер, который доступен по 443 TCP порту. Так же сделан
проброс 443-го TCP порта до веб-сервера WWW1.
Задача
Необходимо сделать так, чтобы, когда будет происходить подключение от маршрутизатора GW1
было подключение SSTP VPN. Во всех остальных случаях должно срабатывать правило проброса
порта. Т. е., если к GW1 обратится PC01 или PC02 должен сработать проброс портов. Номер порта,
по которому работает SSTP-сервер или подключается SSTP-клиент изменять нельзя. Т. е. запрос в
обоих случаях должен прийти на 443-ий порт.
Mangle
1. Правильно ли выполнена маркировка?
add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark connection-

state=new new-connection-mark=ping-1 passthrough=yes protocol=icmp
add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 new-packet-

mark=ping-1 packet-mark=no-mark passthrough=no

add action=mark-packet chain=prerouting comment=ICMP connection-mark=ping-1 connection-

state=new new-packet-mark=ping-1 packet-mark=no-mark passthrough=no

add action=mark-packet chain=prerouting comment=ICMP connection-mark=png-1 new-packet-

4. Правильно ли выполнена маркировка для того, чтобы маркировать ICMP-трафик, исходящий

из маршрутизатора? 10.12.14.16 – это адрес внешнего интерфейса маршрутизатора.
add action=mark-connection chain=prerouting comment=ICMP connection-mark=no-mark new-

connection-mark=ping-1 passthrough=yes protocol=icmp src-address=10.12.14.16
add action=mark-packet chain=output comment=ICMP connection-mark=ping-1 new-packet-mark=ping-

1 packet-mark=no-mark passthrough=no


6. Правильно ли выполнена маркировка для того, чтобы промаркировать трафик, проходящий

через маршрутизатор?


Модуль 3. QoS
1. В какой цепочке находится логический блок QoS?
2. В каком типе деревьев больше настроек? В “Queue Tree” или в “Simple Queue”?
3. В каком виде очередей возможен графический просмотр прохождения трафика?
4. В каком типе деревьев не возможна настройка без указания маркировки? В “Queue Tree” или
в “Simple Queue”?
5. В каких цепочках есть “Simple Queue”?
6. Какое ограничение на количество дочерних правил у “Queue Tree Interface”?
7. Какое ограничение на количество дочерних правил у “Queue Tree Global”?
8. Что будет делать приведенное ниже правило?
/queue simple
add max-limit=20M name=WAN parent=ether1-WAN
9. Каким образом можно привязать одну очередь включая родительские сразу ко всем
интерфейсам?
10. Какой тип очереди не обходится с помощью FastTrack?
11. К какому типу трафика (исходящему или входящему) будет применяться правило в “Queue
Tree Interface”?
1. Что сделает такое правило?

add max-limit=20M name=LAN parent=ether2-LAN
add burst-limit=15M burst-threshold=8M burst-time=10s limit-at=2M max-limit=10M name="LAN -

staff" packet-mark=467 parent=LAN
2. Правильно ли составлены правила?
add max-limit=20M name=LAN parent=ether2-LAN
add burst-limit=15M burst-threshold=12M burst-time=10s limit-at=2M max-limit=10M name="LAN -

staff" packet-mark=users parent=LAN
Контрольные вопросы. Расчеты в HTB – 1

Практика показывает, что в начале изучения расчетов лучше рисовать дерево для улучшения
восприятия. В таком случае количество ошибок снижается.
1. Какой объем трафика достанется каждому leaf’у?
name=A max-limit=20M
name=B parent=A max-limit=10M
name=C parent=A max-limit=10M
name=B parent=A max-limit=10M limit-at=5M
name=C parent=A max-limit=10M limit-at=5M

name=B parent=A max-limit=7M priority=7
name=C parent=A max-limit=7M priority=8
name=C parent=A max-limit=15M limit-at=10M priority=8
name=D parent=B max-limit=50M
name=E parent=B max-limit=25M
name=D parent=B max-limit=50M priority=8
name=E parent=B max-limit=25M priority=7
name=B parent=A max-limit=20M limit-at=10M priority=5
name=D parent=B max-limit=20M limit-at=5M priority=7
name=E parent=B max-limit=20M limit-at=5M priority=8
12. 7 Какой объем трафика достанется каждому leaf’у?

name=D parent=B max-limit=25M
name=E parent=B max-limit=25M
name=F parent=C max-limit=25M
name=G parent=C max-limit=25M
name=D parent=B max-limit=20M limit-at=5M
name=E parent=B max-limit=20M limit-at=7M
name=F parent=C max-limit=20M limit-at=8M
name=G parent=C max-limit=20M

name=G parent=C max-limit=20M priority=7
name=F parent=C max-limit=20M limit-at=8M priority=8
name=G parent=C max-limit=35M limit-at=17M priority=8
Найдите неточность
Созданная конфигурация содержит неточность, которая в некоторых случаях может привести к
некорректной работе правил. Найдите ее и предложите свои варианты решения.
Ответы
Модуль 1. Схема прохождения трафика
1. Input Interface и Local Process IN.
2. Input Interface => Prerouting => Routing Decision => Forward => Postrouting => Output Interface.
3. Input Interface => Prerouting => Routing Decision => Input => Local Process IN.
4. Local Process Out => Routing Decision => Output => Postrouting => Output Interface.
5. За количество маршрутизаторов через которые может пройти пакет отвечает поле TTL в IP-
заголовке. Значение этого поля уменьшается в объекте “TTL=TTL-1” в цепочке “Forward”.
6. Возможность маркировки пакетов есть в каждой из пяти цепочек.
7. RAW Prerouting и RAW Output.
8. Отслеживание соединений происходит в объекте “Connection Tracking”. Этот объект есть в
двух цепочках: Prerouting и Output.
9. Утверждение правдиво.
10. Утверждение ложно.
11. Цепочки идут в том количестве и порядке, как это заложено разработчиками. Вопрос почему
они стоят в том или ином порядке или почему нет, какой-то еще одной цепочки не применим.
Схема расположения трафика такая какая есть. А инженер, когда пишет конфигурацию должен
это учитывать.
12. Routing Decision.
13. Во время ping-запроса: Output и Postrouting, а во время ping-ответа: Prerouting и Input.
Модуль 2. Брандмауэр
Отслеживание соединений
2. Established.
3. Есть 2 способа миновать Connection Tracker:
 Отключить Connection Tracker.
 В /ip firewall raw для соединения необходимо указать action=notrack.
5. Нет, во время удаления соединения происходит только его разрыв.
6. Нет, т. к. Connection tracker предназначен для отслеживания трафика, а не для манипуляций с
ним.
7. Нет, ответа не будет, т. к. правило запретит прохождение “new” пакетов без которых не
получится установить соединение.
8. С помощью SMB получится, а с помощью FTP в пассивном режиме нет, т. к. для последнего
требуется установление related соединения, которое запрещено.
9. Новые подключение к маршрутизатору с помощью WinBox (порт 8291) будут запрещены.
Фильтр
1. IP-адрес и номер порта.
2. Два сокета. Т. е. нужны IP-адрес и порт источника и IP-адрес, и порт назначения. Помимо
сокетов нужен протокол.
3. Два сокета. Т. е. нужны IP-адрес и порт источника и IP-адрес, и порт назначения. Помимо
сокетов нужен протокол.
4. Утверждение ложно. Например, порт может 53 UDP и 53 TCP.
5. Prerouting и Postrouting.
6. Forward.
7. Утверждение ложно. В правиле можно указать только одну цепочку.
8. Утверждение ложно. Терминирующее действие – значит, что после этого действия обработка
пакета в файрволе прекратится. Но при этом само действие может быть, как разрешающим,
так и запрещающим.
9. Для того, чтобы активировать правило на вкладке “Extra” достаточно его просто раздвинуть.
11. Утверждение ложно. Формат записи: 192.168.90/24 невозможен. Можно так: 192.168.90.0/24.
15. Указанное в правиле действие будет выполнено только в случае совпадения всех условий,
указанных в этом правиле.
1. Пакеты в секунду или биты в секунду.
2. Первый пакет пройдет через три правила, а второй и последующие через одно.
3. разрешить “established” и “related” траффик.
4. Нормально закрытый тип файрвола более безопасный, т. к. он исключает большее количество
потенциальных угроз. В реальной жизни невозможно перечислить все потенциальные угрозы
для нормально открытого файрвола. И даже, если бы это получилось, то прохождение пакетов
через такой объем правил плохо бы сказалось на производительности маршрутизатора.
5. Нет, не корректна. Т. к. в этом случае будут отбрасываться все пакеты с состояниями: new,
established и related.
6. Нет, не корректна. Т. к. правило будет разрешать не только established и related трафик, но и
new трафик. В случае, если такое правило будет стоять первым, то на нем будет заканчиваться
обработка основной массы трафика и файрвол будет являться нормально открытым.
7. Да, можно, но такое расположение правил затрудняет чтение конфигурации, т. к. она
становится очень запутанной. Рекомендуется правила одной цепочки располагать друг за
другом.
8. Достаточно одного правила.
9. Утверждение ложно. Контроллер домена не должен быть общедоступным сервисом.
10. Утверждение правдиво. Почтовым сервисом в 99% случаев надо пользоваться изнутри
компании и снаружи.
11. Да, есть. Должна быть выбрана цепочка “forward” вместо “input”.
12. Ошибки нет.
13. Ошибка есть во втором правиле, которое блокирует трафик из DMZ в WAN. За счет него
получится так, что из DMZ не получится выйти в Интернет.
14. Интернет пропал потому, что любой ответ на запрос из локальной сети имеет адрес источника
отличный от 192.168.145.0/24. Из-за этого все ответные пакеты отбрасываются и как результат
нет Интернета. Возможные решения:
I. Отбрасывать только новые пакеты add action=drop chain=forward src-
address=!192.168.145.0/24 connection-state=new .
II. Добавить исходящий интерфейс add action=drop chain=forward src-
address=!192.168.145.0/24 out-interface=ether1-WAN .
15. Необходимо поменять местами эти правила:

add chain=forward action=passthrough
add chain=forward action=drop src-address=!192.168.145.0/24 out-interface=ether1-WAN
16. В обоих случаях произойдет полная блокировка трафика из локальной сети в гостевую кроме
адресов шлюзов из обеих сетей. Так как эти адреса присвоены интерфейсам роутера то, в
данном случае, когда ограничений на цепочку input нет, в обоих вариантах пакеты со всех
адресов из локальной сети ходить до адреса шлюза из гостевой сети и наоборот, будут.
17. Когда будет запущен ping запрос он пройдет в DMZ, т. к. для него нет запрета, а ответ будет
обработан самым первым правилом, которое разрешает established и related трафик. Таким
образом трафик даже не дойдет до правила, которое запрещает трафик из DMZ в LAN.
2. Не правильно указан порядок правил. Должно быть:
 SSH connection 3
 Drop black-list SSH
3. Input и Forward.
4. Цепочку Output защищать не надо.

5. Правило работатьбудет, но надо учитывать, что правила с условием “Connection Limit”
ресурсоемкие. Но:
 их рекомендуется использовать вместе с условиями connection-state=new или с tcp-
flags=syn;
 не указано исключение для белого списка адресов. Из-за этого скорее всего будут
заблокированы доверенные ресурсы.
6. IP Lookup
7. Когда будет подключение по протоколу TCP и порту 3389 (RDP). Судя по всему, комментарий к
правилу был сделан с ошибкой либо остался от старого правила, которое было исправлено на
новое условие?
8. Пакет будет перенаправлен к правилу, которое идет следом за правилом, которое направило
его в пользовательскую цепочку. Если такого правила нет, то пакет перейдет к следующему
логическому блоку по схеме прохождения трафика.
1. Утверждение правдиво. Но RAW-filter не дает значительного снижения.
2. Утверждение ложно. В RAW-filter нельзя использовать условия, связанные с Connection
Tracker, т. к. RAW-filter находится до Connection Tracker по схеме прохождения пакетов.
3. Настройка выполнена неправильно. После установления соединения пакеты будут
обрабатываться на первом правиле и не будут доходить до правила FastTrack. Правило
FastTrack надо поставить первым. Так же надо учитывать, что в случае, когда через Fast Track
будут проходить все пакеты, потеряется большая часть возможностей, которую дает RouterOS.

4. Настройка выполнена неправильно. Правило “FastTrack” должно дублироваться аналогичным
правилом “accept established, related”, т. к. не все пакеты в соединении могут быть обработаны
FastTrack.
5. В конфигурации ошибки нет. Если проблема с Интернетом есть, то не из-за приведенного
кода.
6. В настройках NAT нет правила трансляции адресов:
7. Для приведенного ниже правила не указан входящий интерфейс. Когда пользователи будут
пытаться выйти в Интернет по 80 порту их будет перенаправлять на внутренний адрес
192.168.0.52.
add action=dst-nat chain=dstnat comment=www dst-port=80 protocol=tcp to-

addresses=192.168.0.52 to-ports=80
8. Ничего не изменится, т. к. в цепочке “Input” все правила разрешающие. Можно удалить их все
и ничего не изменится.
9. Для конечного пользователя не изменится ничего, т. к. это правило служит для снижения
нагрузки на процессор за счет того, что уже установленные соединения будут обрабатываться
сразу на первом правиле.
10. Ничего не изменится, т. к. соединение будет обрабатываться за счет первого правила для
цепочки “Input” после того, как первый пакет соединения будет обработан этим правилом.

NAT
1. Нет не может, т. к. в случае “redirect” трафик будет перенаправлен на маршрутизатор, т. е.
действие будет выполнено в цепочке “Input”, а не в цепочке “Forward” как указано в вопросе.
3. Правило настроено неправильно. Не указан параметр “out-interface”.
4. Утверждение не точно. Destination NAT служит для преобразование адреса и/или порта
назначения. Источник (откуда) и назначение (куда) могут быть где угодно. Проброс портов
является одной из множества функций для которых используется Destination NAT.
1. Когда требуется «классический» NAT и при этом IP-адрес внешнего интерфейса может
изменяться.
3. Действие src-nat не может быть выполнено в цепочке dstnat.
4. Не настроены правила Hairpin NAT.
5. To-address находится в другой сети.
Задача
Ответ на задачу присылайте на support@kursy-po-it.ru .
Mangle
1. Да, маркировка выполнена правильно.
2. Маркировка выполнена неправильно. В правиле маркировки пакетов используется “
connection-state=new” из-за этого условия будет промаркирован только первый пакет
соединения.
3. Маркировка выполнена с ошибкой. Скорее всего это опечатка. В правиле маркировки
соединений используется маркер ping-1, а в правиле маркировки пакетов для идентификации
соединения используется png-1.
4. Маркировка выполнена с ошибкой. В первом правиле в цепочке Prerouting указан внешний
адрес маршрутизатора. Когда маршрутизатор является инициатором трафика трафик из
маршрутизатора идет по пути Output => Postrouting и не проходит через цепочку Prerouting.
Через Prerouting проходит ответ на этот запрос, но в этом ответе уже будет указан другой
источник.
5. Да, маркировка выполнена правильно.
6. Да.
Модуль 3. QoS
1. Логического блока QoS не существует. QoS это набор техник, которые используются для
приоритезации трафика и ограничении скорости. При этом для маркировки используются
логические блоки “Mangle”, а для приоритезации “Queue Tree Globa”, “Queue Tree Interface” и
“Simple Queues”.
2. В “Simple Queue” настроек больше.
3. В “Simple Queue”.
4. В “Queue Tree”.
5. “Input” и “Postrouting”.
6. Ограничение отсутствует.
7. Ограничение отсутствует.
8. Установит ограничение скорости выгрузки в Интернет без привязки откуда (LAN, WAN, DMZ и т.
д.). Правило является родительским, т. к. не указано условие маркировки.
9. Использовать “Queue Tree Global”.
10. Queue Tree Interface.
11. К трафику, исходящему из интерфейса.
12.
1. Для трафика с маркировкой “users” будет установлено максимальная скорость загрузки 10
Мб/с. При этом будет разрешено кратковременное превышение этого значения до 15 Мб/с до
тех пор, пока средняя скорость за последние 10 секунд не станет больше 8 Мб/с.
2. Ошибка есть. Burst-threshold больше чем max-limit.

Ваши ответы присылайте на kurator@kursy-po-it.ru .


Найдите неточность


Язык

контрольные вопросы

Загружено:

Сведения о документе

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

контрольные вопросы

Загружено:

Авторское право:

УПРАВЛЕНИЕ ТРАФИКОМ

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

1. Введение. Вы его сейчас читаете.

Задачи на поиск ошибок в конфигурации

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

add action=drop chain=input connection-state=!established,related

add action=drop chain=forward connection-state=invalid,related in-interface=ether1-WAN

9. Что произойдёт если два последних правила поменять местами?

add chain=input action=drop connection-state=invalid

add chain=forward action=drop connection-state=invalid

add chain=input action=accept connection-state=established,new protocol=tcp dst-port=8291

add chain=input action=drop connection-state=new protocol=tcp dst-port=8291

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

/ip firewall filter

add action=accept chain=input comment="accept established, related" connection-

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=accept chain=input comment="accept ICMP" connection-state=new protocol=icmp

add action=accept chain=input comment="accept SNMP" connection-state=new dst-port=161

add action=accept chain=input comment="accept WinBox" dst-port=8291 protocol=tcp

3. Через какое стандартное правило должна проходить основная масса трафика?

add action=accept chain=input comment="accept established, related" connection-

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=drop chain=input connection-state=!invalid

6. Корректна ли замена правила:

add action=accept chain=input comment="accept established, related" connection-

add action=accept chain=input connection-state=!invalid

7. Можно ли располагать правила разных цепочек вперемешку? Пример:

add action=drop chain=input src-address=172.18.0.0/24 dst-address-192.168.0.0/24

12. Есть ли ошибка в конфигурации для гостевой сети?

add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-

add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-

13. Есть ли ошибка в конфигурации для DMZ?

add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-

add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-

14. С помощью правила add action=drop chain=forward src-address=!192.168.145.0/24 системный

Что нужно сделать чтобы задача выполнилась?

add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0

add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0

add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0

set allow-remote-requests=yes servers=8.8.8.8

/ip firewall filter

add action=drop chain=forward src-address=!192.168.145.0/24

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1-WAN

add distance=1 gateway=192.168.1.1

/ip firewall filter

add chain=input action=accept protocol=udp in-interface=ether1-WAN dst-port=500,1701,4500

add chain=input action=drop protocol=tcp in-interface=ether1-WAN dst-port=!22,8291

add chain=forward action=passthrough

add chain=forward action=drop src-address=!192.168.145.0/24 out-interface=ether1-WAN

16. Имеем конфигурацию:

add address=192.168.1.154/24 interface=ether1-WAN network=192.168.1.0

add address=192.168.145.254/24 interface=ether2-LAN network=192.168.145.0

add address=10.11.145.254/24 interface=ether3-Guest network=10.11.145.0

add address=172.16.145.254/24 interface=ether4-DMZ network=172.16.145.0

/ip firewall filter

add action=accept chain=input comment="accept est&rel" connection-state=established,related

add action=drop chain=input comment="drop invalid" connection-state=invalid

add action=accept chain=input comment="accept icmp" protocol=icmp

Контрольные вопросы к курсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

add action=accept chain=input comment="accept winbox" dst-port=8291 protocol=tcp

add action=accept chain=forward comment="accepr est&rel" connection-state=established,related

add action=drop chain=forward comment="drop all invalid" connection-state=invalid

add action=drop chain=forward comment="drop LAN to Guest" dst-address=10.11.145.0/24 src-

add action=drop chain=forward comment="drop Guest to LAN" dst-address=192.168.145.0/24 src-

add action=drop chain=forward comment="drop all if not dst-nat state" connection-nat-state=!dstnat