Mikrotik cihazınızda bağlantı başına bant genişli sınırlamak istiyorsanız, aşağıda bulunan komutları yerel ağınıza uygun olarak düzenleyerek terminal ekranına yapıştırabilirsiniz.
/queue type
add kind=pcq name=pcq-upload-custom pcq-classifier=src-address pcq-rate=5M
add kind=pcq name=pcq-download-custom pcq-classifier=dst-address pcq-rate=5M
/queue simple
add name=Throttle-Each queue=pcq-upload-custom/pcq-download-custom target=192.168.88.0/24
Şayet iki servis sağlayıcı kullanıyorsanız, pcc metodu ile Mikrotik cihazlarınızda yük dengeleme yaparak yerel ağınızdaki istemcilere daha verimli bir bant genişliği sağlayabilirsiniz.
Yukarıda bulunan örnek topoloji üzerinden gidersek:/ip address
add address=192.168.88.1/24 network=192.168.88.0 broadcast=192.168.88.255 interface=Local
add address=192.168.10.2/24 network=192.168.10.0 broadcast=192.168.10.255 interface=WAN1
add address=192.168.20.2/24 network=192.168.20.0 broadcast=192.168.20.255 interface=WAN2
Cihazı dns sunucusu olarak kullanalım:/ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=5000KiB max-udp-packet-size=512 servers=8.8.4.4,8.8.8.8
Paketleri işaretlemek ve yönlendirmek için mangle kurallarına ihtiyacımız var.
/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn
add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.10.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=192.168.20.0/24 action=accept in-interface=Local
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting connection-mark=WAN1_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN2
Son olarak routing mark ile birlikte yeni route tanımlarını işledikten sonra ağımızı maskeleyelim.
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 routing-mark=to_WAN2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 distance=2 check-gateway=ping
/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
Hepsi bu kadar. Örnekte iki internet devresi var. Ama ikiden fazla kullanılıp kuralları buna göre revize edebilirsiniz.
Stateful ve stateless güvenlik duvarları arasındaki temel farkı, birinin paket durumların izleyebilecekken diğerinin izleyememesi olarak özetleyebiliriz. Haricinde, her iki güvenlik duvarı türü de aynı şekilde çalışır, paket başlıklarını inceler ve trafiğin önceden tanımlanmış kurallara göre geçerli olup olmadığını belirlemek için içerdikleri bilgileri kullanır. Stateful güvenlik duvarları, stateless güvenlik duvarlarının belirleyemediği çeşitli tehditlerin belirlemesini sağlar.
Aşağıda bulunanlar dahil olmak üzere, bazı saldırı türleri hedeflerine ulaşmak için legitimate (geçerli) paketleri kötü niyetli olarak kullanır
TCP Taramaları: Bazı taramalar, TCP paketini sıra dışı gönderir ve yanıtı gözlemler. Örnekler arasında ACK ve FIN taramaları bulunur.
DDoS Saldırıları: DDoS saldırılarında genellikle geçerli paketleri kullanılır. Bunlarla birlikte saldırgan, hedef uygulamayı veya sistemi boğmak için büyük miktarlarda paket gönderimi sağlamaktadır.
Her iki örnek saldırıda, stateless bir güvenlik duvarı paketlerin geçmesine izin verecektir. Saldırıyı belirlemek, yalnızca stateful bir güvenlik duvarının sahip olacağı bağlamı gerektirir.
Satın almış olduğunuz Mikrotik cihazlar varsayılan olarak “Stateless” kurallar ile birlikte gelecektir. Bu nedenle cihazınızı bir stateful güvenlik duvarı olarak kullanacaksanız, mutlaka tüm konfigürasyonu silmeniz gerekecektir.
Mikrotik Stateful Güvenlik Duvarı Komutları:
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" in-interface-list=LAN protocol=icmp
add action=accept chain=input dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add action=accept chain=input comment="defconf: accept TCPs example" dst-port=143,993,995,25,465,587,80,443,1194 protocol=tcp
add action=accept chain=input comment="defconf: accept UDPs example" dst-port=5060 protocol=udp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=input in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
