FPI - Fórum para Provedores de Internet
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
FPI - Fórum para Provedores de Internet


Você não está conectado. Conecte-se ou registre-se

Firewall Mikrotik , quando e como aplicar ?

+2
Marcio Marques
justiceiro
6 participantes

Ir para baixo  Mensagem [Página 1 de 1]

justiceiro

justiceiro
MODERADOR
MODERADOR

Pessoal .. em conversa com alguns amigos não chegamos a lugar algum .. gostaria de saber as opiniões aqui no fóurm sobre quando e como aplicar regras de firewall no Mikrotik... muitos dizem que aumenta o processamento quando usado em RBs .. e muitos dizem que atrapalha no controle de banda .. vejo que são muitas divergências sobre este firewall .. então ajuda aí pessoal .. pois gostaria de implantar algumas regras .. e preciso saber se é viável e como devo implantar ..
Ainda não tenho as regras .. primeiro gostaria que os amigos me ajudassem nestas questões levantadas .

Marcio Marques

Marcio Marques
ADMINISTRADOR FUNDADOR
ADMINISTRADOR FUNDADOR

Apenas uso load balance em MK brother , porém em minhas consultorias tenho observado o processamento de RBs assim como usei uma certa vez uma RB 750 em bridge com regras de firewall , ela chegou em 100 % de processamento e não aguentou .
Não saberia te dizer se regras de firewall no MK em um PC seria uma boa , mas posso afirmar que não gosto das mesmas pois causam um grande atraso no processamento.
Vamos esperar mais contribuições de nossos amigos , pois como eu disse , minha experiência com regras de MK é pequena.

Abraço !

http://marquescsh.blogspot.com

demattos

demattos
MODERADOR
MODERADOR

Antes de dar uma resposta que acrescente algo ao topico sugiro a leitura deste post https://fpibrasil.forumeiros.com/t586-o-que-e-e-como-um-firewall-funciona#3242 que certamente vai tornar claro as funcoes e finalidades de uma firewall na rede



Última edição por demattos em Seg 22 Abr - 18:19, editado 1 vez(es)

http://www.criciumanet.com.br

demattos

demattos
MODERADOR
MODERADOR

Por que o texto acima?

Bom vejo rbs com regras e mais regras de firewall que nada vão ajudar na rede somente ocupar processamento e memoria, então analise que tipo de firewall vc quer na sua rede e vamos debater regras que podem ser aplicadas tenho rbs que somente filtra as portas, tenho firewall em linux que bloqueia qualquer tipo de porta somente liberando o que sua rede ira utilizar, acredito que uma análise da rede como um todo pode-se conseguir determinar o tipo e quais regras usar.

http://www.criciumanet.com.br

justiceiro

justiceiro
MODERADOR
MODERADOR

pois é .. já ouvi falar que firewall do linux em um pc a parte funciona .. porém com regras de MK me disseram que seria problema ..

demattos

demattos
MODERADOR
MODERADOR

justiceiro escreveu:pois é .. já ouvi falar que firewall do linux em um pc a parte funciona .. porém com regras de MK me disseram que seria problema ..

As mesmas regras que funciona num mk podem ser feitos no linux o problema esta em processamento uma máquina com linux geralmente terá mais recursos de hardware que uma uma rb, agora de for um mikrotik num pc a questão de hardware e recursos muda.

http://www.criciumanet.com.br

justiceiro

justiceiro
MODERADOR
MODERADOR

Então foi como disseram mesmo .. em MK é problema estas regras de firewall.. o correto seria em linux e com uma boa máquina .. é isto demattos ?

Marco


Especialista
Especialista

Um problema comum é definir regras que analisam cada pacote passante desnecessariamente.
O caso típico em TCP é analisar criteriosamente somente os pacotes SYN. No kernel Linux, as instruções JUMP e monitoramento simples de status (established, ACK) aliviam a carga.

demattos

demattos
MODERADOR
MODERADOR

Marco escreveu:Um problema comum é definir regras que analisam cada pacote passante desnecessariamente.
O caso típico em TCP é analisar criteriosamente somente os pacotes SYN. No kernel Linux, as instruções JUMP e monitoramento simples de status (established, ACK) aliviam a carga.

Então foi como disseram mesmo .. em MK é problema estas regras de firewall.. o correto seria em linux e com uma boa máquina .. é isto demattos ?



Como o marco acrescentou e definir regras que realmente servirá ao seu cenário de rede, muitas regras de análise de pacotes custam processamento e hardware onde regras mais simples farão o mesmo papel. Resumindo tem que analisar o tipo de firewall sua rede necessita.

http://www.criciumanet.com.br

justiceiro

justiceiro
MODERADOR
MODERADOR

Então é como todos falam mesmo .. MK não é recomendável para uso de muitas regras mesmo estando em um PC .. o ideal é um PC com boa configuração com o Linux .. pois sabemos que mesmo no colocando apenas algumas regras no início depois sempre queremos adequar mais algumas .. então é melhor mesmo partir para uma boa máquina com o Linux .. sendo assim ficarei bem suprido .. certo pessoal ?

Marcio Marques

Marcio Marques
ADMINISTRADOR FUNDADOR
ADMINISTRADOR FUNDADOR

Irei dar minha pequena contribuição falando do processamento e da minha experiência com alguns clientes que prestei e presto assessoria .
Quando começam a me pedir regras de firewall e outras coisas eu explico primeiramente que se estiver em uma RB , nunca aconselho deixar a mesma passando de 50 % do processamento , pois neste caso já perde performance , já em um PC usando MK melhora o uso do processador , porém não acho rápida a análise do MK , concordo com os amigos que quando se quer um bom firewall ,tem que ter um bom hardware trabalhando com linux.
MK para firewall apenas com regrinhas básicas e mesmo assim acompanhando o desempenho frequentemente.

Abraço !

http://marquescsh.blogspot.com

silviola

silviola
MODERADOR
MODERADOR

Bom pessoal, aqui com uma RB450G ( 680MHz x 254MB ) tenho o seguinte:
58 Clientes Cadastrados.
Filter:
16 regras que bloqueiam IP Spoofing, Enderços Indesejáveis, Isolamento de classes, Limite de Conexão.
NAT:
Alguns redirects simples, umas 3 regras ativas em média.
Mangle: Em torno de 100 regras marcando conexão e pacotes para 22 tipos de conexão ( 44 ao todo entre download e upload )


Queue Tree com 44 regras de priorização


Simple Queue com 583 Regras ( 10 regras por cliente + 3 regras se algo escapar )


Horário de PICO consumo de 8Mbits, RB com processamento de 15~30% ( 80MB RAM Livre ).

Pergunta: Isso é muita ou pouca regra pelas concepções de vocês ?


Aqui funciona bem... logicamente que não analiso nada com "content".

Marcio Marques

Marcio Marques
ADMINISTRADOR FUNDADOR
ADMINISTRADOR FUNDADOR

silviola escreveu:Bom pessoal, aqui com uma RB450G ( 680MHz x 254MB ) tenho o seguinte:
58 Clientes Cadastrados.
Filter:
16 regras que bloqueiam IP Spoofing, Enderços Indesejáveis, Isolamento de classes, Limite de Conexão.
NAT:
Alguns redirects simples, umas 3 regras ativas em média.
Mangle: Em torno de 100 regras marcando conexão e pacotes para 22 tipos de conexão ( 44 ao todo entre download e upload )


Queue Tree com 44 regras de priorização


Simple Queue com 583 Regras ( 10 regras por cliente + 3 regras se algo escapar )


Horário de PICO consumo de 8Mbits, RB com processamento de 15~30% ( 80MB RAM Livre ).

Pergunta: Isso é muita ou pouca regra pelas concepções de vocês ?


Aqui funciona bem... logicamente que não analiso nada com "content".

Silvio , é muito processamento chegar à 30% , pois mesmo que não perceba qualquer problema , quando executamos processos com respostas instantâneas como requisições o processador deve chegar no máximo com 10 % de uso , por isto não gosto de processamentos em RBs , nos PCs o processamento fica quase sempre em até 10%.

Abraço !

http://marquescsh.blogspot.com

nonoque


Colaborador Iniciante
Colaborador Iniciante

É possivel vc postar suas regras de firewall e priorização na queue?

silviola escreveu:Bom pessoal, aqui com uma RB450G ( 680MHz x 254MB ) tenho o seguinte:
58 Clientes Cadastrados.
Filter:
16 regras que bloqueiam IP Spoofing, Enderços Indesejáveis, Isolamento de classes, Limite de Conexão.
NAT:
Alguns redirects simples, umas 3 regras ativas em média.
Mangle: Em torno de 100 regras marcando conexão e pacotes para 22 tipos de conexão ( 44 ao todo entre download e upload )


Queue Tree com 44 regras de priorização


Simple Queue com 583 Regras ( 10 regras por cliente + 3 regras se algo escapar )


Horário de PICO consumo de 8Mbits, RB com processamento de 15~30% ( 80MB RAM Livre ).

Pergunta: Isso é muita ou pouca regra pelas concepções de vocês ?


Aqui funciona bem... logicamente que não analiso nada com "content".

silviola

silviola
MODERADOR
MODERADOR

Marcio Marques escreveu:
Silvio , é muito processamento chegar à 30% , pois mesmo que não perceba qualquer problema , quando executamos processos com respostas instantâneas como requisições o processador deve chegar no máximo com 10 % de uso , por isto não gosto de processamentos em RBs , nos PCs o processamento fica quase sempre em até 10%.
Abraço !
Hum... pode ser, mas a latência, que é o medidor principal de vivacidade da rede ( e por conseguinte, do processador ), está sempre baixinha.
Na LAN, usando pacotes grandes ( ping -t -f -l 1450 X.X.X.X ) sempre em 1ms, e para os clientes 2~3ms.

De vez em quando eu preciso transferir filmes para o VOD... limito a transferência em 10Mbits, o que incide uma média de 50% de processamento, também, tudo flui normal.
Se eu não limito, a transferência vai a 25~30Mbits, o processamento a 100% , e mesmo nestes casos, se há perda de vivacidade, é imperceptível.

Só que existem 2 tipos de 100% em RBs, e isso já senti na pele.
Tem o 100% de processamento causada realmente por carga de processos.

E tem o 100% e processamento causado por swap de memória, que é o mais comum. Ocorre quando a memória livre fica na faixa inferior a 12MB ( geralmente ao encostar a 7MB crava 100% e a RB trava ). Isso é comum pois a maioria do pessoal pega RB com 32MB apenas, e processador de 400MHz.

Com a RB 450G, é difícil consumir todos os 256MB da memória dela.


Por isso reitero aqui, pior que sobrecarregar o CPU das suas RBs, é sobrecarregar o uso da memória.

Marco


Especialista
Especialista

Uma regra simples que pode melhorar a latência e a sensação de velocidade percebida pelo cliente é a priorização de pacotes SYN, ACK e ICMP.

Conteúdo patrocinado



Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos