В заточенную под сетевые процессы Linux систему RouterOS заложены довольно таки серьезные возможности. Я знакомлюсь с RouterOS весьма простым способом - можно взять официальный образ с сайта Mikrotik и проинсталлировать ее в виртуальную машину. Получаете полнофункциональный роутер для теста на 24 часа.
Как я сказал, операционная система от Mikrotik является специализированной сетевой OS с обширным функционалом и большим количеством разнообразных функций и сетевых протоколов. В частности доступна весьма интересная функция анализа проходящих через маршрутизатор пакетов - Layer7 protocol.
При помощи правильно составленных регулярных выражений можно гибко управлять потоками, блокировать адреса, выделять гарантированную полосу для протоколов и много другое. Данная функция открывает достаточно широкие возможности по определению вида трафика и его последующей сортировки.
Теория для Layer7 - RouterOS получает первые 10 пакетов каждого установленного соединения и ищет совпадения по заранее определенным выражениям, если совпадений не обнаружено, то дальнейший поиск прекращается и соединение считается не определенным. Если же совпадение нашлось, то в дальнейшем в разделах Filter rules, Nat, Mangle можно создать цепочки правил с действиями.
Внимание - данная функция проверки регулярных выражений layer7-protocol корректно работает только в 6-й версии прошивки Mikrotik. На сегодня это версия 6.42.4.
Внимание - чрезмерное злоупотребление данной функцией и большое количество записей с разделе layer7-protocol может привести к нагрузке на устройство. Но потренироваться в написании регулярных выражений самое то. Насколько я понимаю главное это не забыть про маркированные списки. Иначе получим высокую нагрузка на cpu роутера, увеличенную latency и потерю пакетов.
Была, кстати, такая же функция и в ранних версиях pfSense однако позже ее там убрали. Сообщество разработчиков pfSense решило что есть и другие достойные способы блочить лишний трафик. А жаль.
Дела.
No comments:
Post a Comment
А что вы думаете по этому поводу?