Jump to content

Fasttrack и forward

bolic
 Share

Recommended Posts

bolic

bolic

Posted
Posted

Вопрос по настройке 

/ip firewall filter

add action=fasttrack-connection chain=forward connection-state=established,related in-interface=bridge-lan out-interface=ether1
add action=fasttrack-connection chain=forward connection-state=established,related in-interface=ether1 out-interface=bridge-lan

add chain=forward action=accept connection-state=established,related

add chain=forward action=drop connection-state=invalid

 

Fasttrack — ускорить обработку за счёт обхода фильтрации/анализа в брандмауэре, к TCP и UDP отмеченным в данном случае established и related.

Учитываем, что не все пакеты внутри соединения могут быть обработаны FastTrack, часть всё равно пройдет и пойдет по пути обработки. 

Forward — обрабатывает транзитный трафик, в данном случае так же established и related - accept.

Исходя из описания тогда написанный набор правил выше правильный, хотя если убрать первые два и оставить нижние только forwrd будет так же. Возможно только нагрузит проц +1-2%.

Интерфейсы ether1 - Инет, bridge-lan - локальные, есть еще чуток удал.офис ether3 (так же на микротик)

 

 

 

 

jffulcrum

jffulcrum

Posted
Posted

Packet Flow in RouterOS - RouterOS - MikroTik Documentation
 

Цитата

 

To mark a connection as fast-tracked new action was implemented "fasttrack-connection" for firewall filter and mangle. Currently, only TCP and UDP connections can be fast-tracked and to maintain connection tracking entries some random packets will still be sent to a slow path. This must be taken into consideration when designing firewalls with enabled "fasttrack".

...

Notice that the first rule marks established/related connections as fast-tracked, the second rule is still required to accept packets belonging to those connections. The reason for this is that, as was mentioned earlier, some random packets from fast-tracked connections are still sent the slow pathway and only UDP and TCP are fast-tracked, but we still want to accept packets for other protocols.

 

 

То есть для поддержания conntrack часть пакетов всё равно идёт обычным путём, через все инстанции, и потому правила forward с accept тоже необходимы.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.