Autor: sutrus

Datum: 26 pro 2021 14:25
Kategorie: Firewall

Zobrazení: 148
Komentáře: 0

Mangle

Popis: Mangle

Odkaz na článek (bb-code [URL]): Kopírovat

[url=https://spssoftware.cz/knowledgebase/article?k=65]Mangle[/url]

Přímý odkaz: Kopírovat

https://spssoftware.cz/knowledgebase/article?k=65
Úvod
Mangle je druh "značky", která označuje pakety pro budoucí zpracování speciálními značkami. Tyto značky využívá mnoho dalších zařízení v RouterOS, např. fronty, NAT, směrování. Ty identifikují paket na základě jeho značky a podle toho jej zpracovávají. Značky mangle existují pouze uvnitř směrovače, nepřenášejí se po síti.

Kromě toho se zařízení mangle používá k úpravě některých polí v záhlaví IP, jako jsou pole TOS (DSCP) a TTL.
Pravidla mangle brány firewall se skládají z pěti předdefinovaných řetězců, které nelze odstranit:
mangle.png
  • PREROUTING: Pravidla v tomto řetězci se vztahují na pakety, které právě přicházejí na síťové rozhraní
  • INPUT: Pravidla tohoto řetězce se vztahují na pakety těsně před jejich předáním místnímu procesu
  • OUTPUT: Pravidla v tomto řetězci se vztahují na pakety těsně poté, co byly vytvořeny procesem
  • FORWARD: Pravidla v tomto řetězci se vztahují na všechny pakety, které jsou směrovány přes aktuálního hostitele
  • POSTROUTING: Pravidla v tomto řetězci se vztahují na pakety, které právě opouštějí síťové rozhraní

Vlastnosti
VlastnostPopis

Tisk statistik:

Kód: Vybrat vše

[admin@MikroTik] > ip firewall mangle print stats all
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 D ;;; special dummy rule to show fasttrack counters
prerouting passthrough 18 176 176 30 562
1 D ;;; special dummy rule to show fasttrack counters
forward passthrough 18 176 176 30 562
2 D ;;; special dummy rule to show fasttrack counters
postrouting passthrough 18 176 176 30 562
3 forward change-mss 18 512 356


Příklad konfigurace

Změna MSS
Je známo, že spoje VPN mají menší velikost paketů kvůli zapouzdření. Velký paket s MSS, který přesahuje velikost MSS spoje VPN, by měl být před odesláním přes tento druh spojení fragmentován. Pokud má však paket nastaven příznak na nefragmentovat, nemůže být fragmentován a měl by být zahozen. U spojů, které mají chybné zjišťování MTU cesty (PMTUD), může toto vést k řadě problémů, včetně problémů s přenosem dat FTP, HTTP a e-mailovými službami.

V případě spoje s porušeným PMTUD problém vyřeší snížení MSS paketů přicházejících přes spoj VPN. Následující příklad ukazuje, jak snížit hodnotu MSS pomocí manglu:

Kód: Vybrat vše

/ip firewall mangle add out-interface=pppoe-out protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535