Názory k článku Konfigurace firewallu na RouterOS od Mikrotiku
-
wondra (neregistrovaný)
Autor zrejme nezaznamenal, ze RouterOS je distribuci Linuxu a konfigurator firewallu je pouze nadstavbou nad linuxovym kernelem. Kuprikladu i graf pruchodu paketu kernelem je tudiz stejny, jenom do nej malokdy nekdo kresli vsechno zaroven.
Mikrotik totiz do kernelu pridal patchu, co se tam veslo, a nektere z nich budou zrejme i jejich vlastni vyroby. Nevi napriklad nekdo, jak udelat v cistem Linuxu PCQ (per-connection queue)?
Za druhe bych si vyprosil ty hlasky o vykonu Mikrotikovych krabicek, naprosto nepodlozene jakymkoli merenim. Autor clankem vlastne prohlasuje, ze Mikrotik nelze pouzit v produkcnim prostredi. Proc o nem tedy vubec pise?
Prosim tedy, aby pristi clanek obsahoval mereni propustnosti nekolika zvolenych Mikrotiku, vcetne tech nejvyssich verzi (s procesorem Atom, tusim), v rovine propustnosti merene s ruzne velkymi pakety a s nasazenim ruznych funkci firewallu (filter, NAT, l7filter, netgrep). "Produkcni prostredi" by se melo definovat a srovnat s namerenymi vysledky.
Navic jsem videl gramatickou chybu a to me vzdycky vytoci tak, ze musim napsat komentar.
S uctou, wondra -
Autor zaznamenal. Informace o výkonu jsou opodstatněné, protože firewall dokáže výkonem zamotat. Pokud chcete nějaká čísla, tak v síti, kde mi teče 20 Mbitů od 100 uživatelů se zatížení při zapnutí detekce P2P zvedne asi o třetinu, což mi na routeru který jenom při přeposílání paketů hlásí 40% využití procesoru připadá hodně, abych to nechal bez povšimnutí.
S Mikrotiky vyšší řady jsem nikdy nepracoval a tak nemohu předat žádné zkušenosti. V článku mluvím hlavně o malých RouterBoardech jako 433 nebo 600, které se masivně používají.
Nepíšu, že RouterBoardy nejdou použít v produkčním prostředí, píšu že se v něm komplikované firewally špatně dělají.
Je mi líto, že jste na gramatickou chybu narazil. Škoda, že jste neuvedl kde.
-
Martin (neregistrovaný)
Ahojte.
a) RouterBoard RB 750 GL stojí cca 1000 Kč a výkonově je úplně jinde než 433; zkuste si jej.
b) ano, s PC s Intel DualCorem nebo 4 jadernym CPU se opravdu rovnat nemůže, ale ten nekoupíte za cca 1000 Kč
c) je třeba si pohrát s pravidly. Mě se například osvědčilo, dávat pravidla...
add chain=forward action=accept connection-state=established in-interface=ether1
add chain=forward action=accept connection-state=related in-interface=ether1
... hned jako první, při rozhodování přes ně jde nejvíce paketů a ve vytížené síti to hodně zamává s výkonem procesoru. -
x (neregistrovaný)
To by autor musel tusit jak nakofigurovat firewall ;D, ostatne i jeho zminka o "detekci p2p" svedci o provozovani nejakeho toho "garazoveho ISP", ktery neni schopen nakonfigurovat sit. Nevim proc bych mel resit p2p a dalsi L7 kraviny, sit mi vpohode funguje i bez toho, latence i pri "100%" zatizeni jsou kolem 50ms. Staci pouzivat mozek.
Vubec nemluve o tom, ze kdyz nekomu prodam Mbit, tak je to Mbit a je mi uprdele co si snim bude delat. Pravda, neprodam mu ho za 10Kc.
BTW: Zakladni pravidla pro jakykoli FW = nejdriv pravidla, pres ktera projde nejvic paketu. Ja napriklad na prvni pozici davam akceptovani provozu na lo ;D. Hned za to vyse zminene. V pripade slozitejsich konfiguraci je pak dobry to rozpadnout na vicero cest jednodussim pravidlem a teprve pak specifikovat podrobnosti, protoze pres to slozitejsi pravidlo pak netece vsechno, ale uz jen predvybrane pakety.
-
Trident (neregistrovaný)
Mikrotik je porad jen mikrotik. Dokud tam nebude nejaky filtr/routing na bazi HW, tak nema cenu to nasazovat nekam kde jsou velke datove toky. Tyhle produkty jsou pro nasazeni na okrajove casti siti, pripadne jako nasazeni pro konecneho uzivatele. Jako core router nebo firewall pro gigabitove toky bych je nepouzival. Od toho jsou jine produkty jinych vyrobcu. Mali ISP stejne na velkych datovych tocich zadne sofistikovane l7 filtrovani nepouzivaji protoze proste a) na to nemaji nebo za b) vzhledem k cene konektivity je to zbytecne drahe. To si muze dovolit jenom prdici bublinka:)
-
Jerry12 (neregistrovaný)
Jak rikas. Mikrotiky jsou rekneme spickovy SOHO zarizeni. Na druhou stranu kde sezenete za 1000 gigovej 5xGbit router/switch/atd. s moznosti napajeni pres PoE.
Nu a kdyby byl nekdo vazne sadista, tak muze vzdycky za par stovek koupil licenci RouterOSu na x86 a za par minut prejit z nestihajiciho RouterBoardu treba na starsi Xenon s 2xGbit co by se vyrazoval. Podle me desivy reseni, ale funguje (videl jsem a nebyl to Xenon, ale rezava P4 na 3Ghz hozena v rohu ... fuj). -
Trident (neregistrovaný)
Takhle routovala(nebo snad jeste routuje) provoz jedna lokalni kabelovka v zapadnich cechach. Nakoupily jete CMTS a zacli nabizet 256-1024kbit per zakaznik. Ovsem pochopitelne zanedlouho byly prevalcovany nabidkou ADSL od O2. A to jak rychlosti tak spolehlivosti ale hlavne cenou.
-
VI (neregistrovaný)
Různí menší ISP používají RouterOS na x86 strojích naprosto běžně jako hraniční routery pro toky ve stovkách Mb/s.
Ono moderní x86 platforma s PCIe linkami vyvedenými z CPU, kvalitními síťovými adaptéry, a odpovídajícími ovladači, dokáže na linuxu uroutovat jednotky Gb/s (běžný provoz co se týče distribuce velikosti paketů a jejich počtu). Pokud chceme ještě NAT, a Qos, tak to tolik není, ale Gb/s není nereálný.
Nelze vycházet ze zkušeností s x86 z doby netburst Xeonů...
Místní CATV má taky hraniční router na linuxu, špičkový tok kolem 400 Mb/s, a ADSL je rozhodně neválcuje. Taky proč, když mají 8 Mb/s download za nějakých 400/měsíc bez nutnosti smlouvy na X let.
-
Trident (neregistrovaný)
Vzhledem k cene l3 switchu uz nejakych x let mi to spis prijde spis jako dojizdeni stareho reseni z doby, kdy jejich cena byla pro maleho ISP jeste astronomicka.
Dale je otazkou kolik zateze prebira logika tech inteligentnich sitovych karet. Dalsi otazkou je jestli treba latence takoveho paketu je dobre predikovatelna narozdil od hw reseni. Ono se to pri tech tocich nascita.
Jestlipak vam ti "dobre" sitove karty pri selhani hw pusti tok zkrz? Jestlipak jsou fault tolerant?Jedno takove ciste PC reseni take provozuji. Ale ani k malemu ISP bych ho nenasadil. Je to asi proto ze si s pojmem ISP spojuji jinou kvalitu a dostupnost sluzby.
Inu jsou garazovi ISP kteri jedou na dobre slovo a povetrnostni podminky a pak jsou jini garazovi ISP, kteri diky kvalite reseni jeste prodavaji treba billingovy system vcetne implementace.K tomu ISP. Zalezi na nabidce. Pokud jedete dva segmenty jeste na DOCSIS 1.0 a nemate v nabidce ani konkurence schopnou sluzbu s O2, tak se pak neni cemu se divit.Na obranu toho catv maleho providera musim rict, ze nevim o baraku(i nove rodinne domy) kde by kabelovka nebyla zavedena. Jednalo se jeste o tehdejsi investici mesta z pocatku devadesatych let. A dikybohu to neprodali kabelu plus ani upc. Narozdil od debilni UPC, ktera mi ve trech podnajmech v centru Prahy neni schopna poskytnout pripojku a na novostavby vam neposle ani vyjadreni...
-
VI (neregistrovaný)
Zde je to s CATV obdobné - rozvody financovalo a vlastní město, a prodávat to není proč. Internet řeší firma, která zároveň dělá servis těch rozvodů. Před několika lety se síť částečně rekonstruovala právě s ohledem na internet (rozdělení na více sekcí). Teď je ten internet maximálně konkurenceschopný.
Ad L3 switche - tihle "ISP" typicky dělají NAT, mají rozsah /24 nebo v lepším případě /22, a to pro všechny nestačí. Tam je L3 switch mimo. Dřív to mělo opodstatnění v shapingu, FUPu atd. Což dnes odpadá (shaping lze dělat přímo na CPE), a nebýt toho NATu, tak by L3 switch i stačil...
Co se týče redundance, tak ty x86 server není vzhledem k ceně problém mít 2 jako HA cluster nebo to rozložit nějak inteligentněji na síťové úrovni.
-
Trident (neregistrovaný)
Na CPE uz se to davno nedela. To bylo kdysi. Je to totiz snadno hackovatelne a to i na tech novych. Na internetu se vali hromada navodu jak hacknout ten ci onen model. Naopak moderni je delat to primo na CMTS. Ty nove maji v sobe i l3 switch.
Taky je blbe ze diky zamknute limitaci vnutite zakaznikovi do pronajmu maximalne dva ci tri modely na, ktere mate deal s dodavatelem technologie a neumoznite mu vybrat si treba svuj vlastni. Protoze pak si nemuzete zarucit limitaci. Ne. Limitace na CPE je uplne mimozni.Muzete argumentovat ze toky sledujete a zakaznika vytahate za krk. Nicmene neni uz lepsi mimo toho sledovaciho systemu implementovat poradny shaping? A krom toho chyba pri shapovani muze nastat i spatnym chovanim CPE. Takove nepodlozene krive obvineni je snadno zalovatelne.
-
VI (neregistrovaný)
Jasně, já se v tom zas tolik neorientuji. Pokud to umí CMTS, tak je to asi lepší. Že máte jen několik modelů CPE nemusí být tolik na závadu. Kdyby si každý mohl použít "co chce", tak by byl zas problém se pak dohadovat proč něco nefunguje. U nás dávají prostě jeden typ CPE, a byznysu to nějak nepřekáží. Snad nikdo si tu nevybere jiného ISP proto, že na CATV dostane neideální koncové zařízení (jen 1 ethernet). A to jde především.
Ad hacknutí CPE - také mě to zajímalo, koukal jsem na to zběžně, a našel jsem něco o tom, že je to postaveno na PKI certifikátech, takže by to nemělo být tak snadné hacknout.
Implementovat pořádný shaping - musíte mít na čem ho dělat, pokud to CMTS zrovna neumí. A shaping na stovkách Mb/s už není tak jednoduchý, co se týče potřebného HW.
-
Nadpis clanku znel: konfigurace firewallu na RbOS..... proto se musim autora clanku "zastat", osobne dekuji za dalsi pekny clanek tim spis o RBOS.
Z nadpisu clanku jsem pochopil, clanek je o konfiguraci firewallu na RbOS, clanek si se zajimavosti precte vetsina jak silne zkusenych "diskutujicich" uzivatelu, tak ale i uzivatel mene zkusenejsi, ktery Mikrotik bud nezna a nebo se na nej rad podiva, jako dalsi nakupnuti podarene! Zadna slozitost. Tento uzivatel kolikrat neutsi jak se data presne prenasi a co se kde s cim deje, l7 filtrovani jej nezajima.
Pokud by psal clanek pro "odborniky" na mikrotik, nejspise je stejne odkaze na vsemozna fora o mikrotiku. Pripadne na zarizeni pro rizeni velkych datovych toku.
Osobne mam RbOS velmi rad. Nasazujeme je pro vse mozne a kolikrat i nemozne. Kazdy dalsi clanek o nich je jen dukazem jejich krasne pouzitelnosti. Urcite se na root.cz nebudou branit clankum pro jina zarizeni a jejich vzajemnym srovnanim :-) -
hm (neregistrovaný)
Taky z nich zrovna nadšením nevýskám, ale pro malou síť jsou užitečné. Ovšem je pravda, že náročná pravidla pro více (desítky) uživatelů už nestíhají.
Jejich firewall mi nepřipadá jiný, než iptables; jsou to iptables, jen s jinak pojmenovanými položkami.
A změnit pořadí pravidel také lze, je na to, myslím, příkaz 'move' a čísla řádků, takže není nutno pravidla přepisovat. Koneckonců když využijete kopírování pomocí myši (obvykle normální vlastnost linuxové konzole), tak ani to přepisování není nějak extrémně pracné. -
orso (neregistrovaný)
Nam robi mikrotik (RB1000) iba obycajne access listy pre cca 100+ userov , shaping s pcq , trunk port do switchu , firewall na bridge pre niektore vlany a hravo zvlada traffic 20 - 40 mbit/s pri tisicoch spojeni a s manglovanymi paketmi pre simple queue ..... tym som len chcel povedat ze pre nasedenia u malych lokalny providerov (uzivatelia v radoch 100 viek az tisic ) je to najidealnejsie riesenie
-
hondrone (neregistrovaný)
Kvalita clanku celkem pokulhava, ale nijak to nevybocuje z autorova prumeru. Nemohu se zbavit dojmu, ze autor potreboval rychle nejake penize na pivo, tak narychlo zplacal par vet a dovolil si to nazvat clankem.
Tvrzeni, ze se na mikrotiku spatne delaji slozitejsi firewally je samozrejme blbost.
Kritizovani vykonu mikrotiku jsou take jen zvasty. Jak autor pise, ma zkusenosti pouze s nizsimi modely, ktere jsou urcene na nasazeni u klienta. Pokud pres to routuje traffic dvou a vice klientu, tak zaslouzi par pres drzku. Pan autor by si mel otestovat modely rb1000 a rb1100ah, potom by byl kompetentni k tomu, aby o teto problematice psal "clanky".
Je skoda, ze redakce pusti takovyto clanek, ktery je smesny a opravdu nici dobre jmeno portalu. Ve srovnani s famozni serii o architekturach pocitacu pusobi autor tohoto clanku jako nedospely blbecek.
-
Tom (neregistrovaný)
Poměrně opomíjenou možností v RouterOs je též instalace pouze těch balíčků, které opravdu potřebujete. Většina mnou navštívených RouterBoardů obsahovala nainstalované a zapnuté balíčky, které nebyly a pro požadovanou konfiguraci ani nemohly být využity. Souhlasím s autorem v tom, že použití např. L7 filtrování zatěžuje RouterBoard radikálně. Zatím jsem měl nejsilnější v parádě RB493G.
-
Zajímavý článek, rád si občas něco o mikrotiku přečtu, jenom s tím nedostatečným výkonem routerboardu také nesouhlasím. Už řada 4xxAH nabízí solidní výkon, neříkám že bych ho dal na gw, ale děláme na nich některé AP a při 60 klientech hravě zvládají firewall i manglování kvůli prioritizaci paketů a v případě extrémní zátěže omezování p2p.
Rozhodně bych se nebál zátěže procesoru na 40%, tyto krabičky jsou na to stavěné a ikdyž mi na některé vyskočí zátěž špičkově na 80%, vím že to pro danou podsíť nepředstavuje žádný problém.
ČLÁNKY DO MAILU